En què consisteixen els atacs d’injecció indirecta de scripts (XSS)?

Durant un atac d’injecció indirecta de scripts (XSS), els ciberdelinqüents injecten codi a la teva pàgina web per dur a terme accions com ara redirigir els usuaris a una pàgina web maliciosa o robar contrasenyes.

Cas pràctic

L’any 2018, British Airways va patir un atac XSS en el qual es van interceptar les dades bancàries de més de 400.000 clients.

Aquell mateix any, un dels proveïdors de Ticketmaster va patir un atac similar, en què es van filtrar les dades de 40.000 clients de Ticketmaster.

Si un ciberdelinqüent realitza un atac d’injecció indirecta de scripts (XSS) a la teva pàgina web amb èxit, podrà dur a terme moltes accions a la teva pàgina web. Per exemple, pot veure qualsevol tipus d'informació que es transmeti a la teva pàgina web (com ara informació personal i de pagament), fins i tot si tens el xifratge SSL implementat. Encara que la teva pàgina web no permeti als usuaris introduir dades o encara que tinguis una pàgina web enfocada només al màrqueting, els atacs d’injecció indirecta de scripts podrien ocasionar que es redirigeixi els usuaris a pàgines falses on els ciberdelinqüents poden realitzar altres activitats malicioses, com ara instal·lar programari maliciós.

Per protegir-te dels atacs d’injecció indirecta de scripts (XSS) cal fer canvis a la teva pàgina web que normalment un informàtic o desenvolupador podria implementar fàcilment (però que serien difícils d'implementar per a algú sense coneixements tècnics). Aquests canvis inclouen afegir les capçaleres Content-Type i X-Content-Type-Options a la teva pàgina web i crear una Content Security Policy (CSP).

Revisa la secció "Seguretat de pàgina web" a la plataforma per conèixer la teva protecció enfront de la injecció indirecta de scripts i envia l'informe tècnic al teu desenvolupador web per arreglar les vulnerabilitats que es trobin.