Prevención de ataques de Cross-Site Scripting en aplicaciones Web

Resumen—La seguridad se está convirtiendo en una de las principales preocupaciones de desarrolladores de servicios Web y otros recursos basados en tecnologías relacionadas con Internet. Dichos servicios, además, se están haciendo omnipresente en todo tipo de modelos económicos e industriales. Las aplicaciones basadas en servicios Web deben garantizar, además del valor esperado por sus usuarios, mecanismos de confianza que garanticen su seguridad. En este trabajo, nos centramos en el problema específico de los ataques de tipo cross-site scripting. Presentamos un estudio sobre este tipo de ataques, así como un estado del arte en cuanto a mecanismos y recursos existentes para su prevención. Analizamos las ventajas y limitaciones de algunas de las propuestas más recientes; e introducimos una solución alternativa que hace uso de certificados X.509 y políticas de seguridad especificadas en lenguaje XACML. Nuestra propuesta pretende dar apoyo tanto a desarrolladores como a administradores de aplicaciones Web. Por un lado, nuestra contramedida ayuda a especificar desde el lado del servidor todos aquellos requerimientos de seguridad asociados con el uso de recursos de la aplicación (por ejemplo, cookies e identificadores de sesión). Por otra lado, nuestra propuesta garantiza el despliegue de los mecanismos de protección necesarios en el cliente. Estos mecanismos han de garantizar la correcta ejecución de la política descrita en el lado del servidor por parte del cliente (es decir, el navegador Web). Nuestra estrategia se integra adecuadamente en aplicaciones Web de comercio electrónico a través del uso de estándares compatibles con SSL y HTTP.