Estado de vulnerabilidad que se crea por métodos de
codificación poco seguros, y que tiene como resultado una validación de
entradas inapropiada. Suele utilizarse junto con CSRF o inyección SQL.
http://es.pcisecuritystandards.org
Secuencias de comandos en sitios cruzados
(Cross-site Scripting) es una brecha de seguridad que se produce en páginas Web
generadas dinámicamente. En un ataque por XSS, una aplicación Web se envía con
un script que se activa cuando lo lee el navegador de un usuario o una
aplicación vulnerable. Dado que los sitios dinámicos dependen de la interacción
del usuario, es posible ingresar un script malicioso en la página, ocultándolo
entre solicitudes legítimas. Los puntos de entrada comunes incluyen buscadores,
foros, blogs y todo tipo de formularios en línea en general. Una vez iniciado
el XSS, el atacante puede cambiar configuraciones de usuarios, secuestrar
cuentas, envenenar cookies, exponer conexiones SSL, acceder sitios restringidos
y hasta instalar publicidad en el sitio víctima.
http://www.inteco.es/glossary/Formacion/Glosario/
Es una brecha de seguridad que se produce en páginas
Web generadas dinámicamente. En un ataque por XSS, una aplicación Web se envía
con un "script" que se activa cuando lo lee el navegador de un
usuario o una aplicación vulnerable. Dado que los sitios dinámicos dependen de
la interacción del usuario, es posible ingresar un "script" malicioso
en la página, ocultándolo entre solicitudes legítimas. Los puntos de entrada
comunes incluyen buscadores, foros, "blogs" y todo tipo de
formularios "online" en general. Una vez iniciado el XSS, el atacante
puede cambiar configuraciones de usuarios, secuestrar cuentas, envenenar
"cookies", exponer conexiones SSL, acceder sitios restringidos y
hasta instalar publicidad en el sitio víctima.
http://www.alerta-antivirus.es/seguridad/ver_pag.html?tema=S
Esta falla permite a un atacante introducir en el
campo de un formulario o código embebido en una página, un "script"
(perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el
navegador, puede provocar la ejecución de un código no deseado.
http://www.vsantivirus.com/vul-webcamxp.htm
A vulnerability that allows
attackers to inject malicious code into an otherwise benign website. These
scripts acquire the permissions of scripts generated by the target website and
can therefore compromise the confidentiality and integrity of data transfers
between the website and client. Websites are vulnerable if they display user
supplied data from requests or forms without sanitizing the data so that it is
not executable. [NIST-SP800-63:2013]
https://www.pcisecuritystandards.org/security_standards/glossary.php
A type of injection, in
which malicious scripts are injected into otherwise benign and trusted web
sites
Scope Note: Cross-site
scripting (XSS) attacks occur when an attacker uses a web application to send
malicious code, generally in the form of a browser side script, to a different
end user. Flaws that allow these attacks to succeed are quite widespread and
occur anywhere a web application uses input from a user within the output it
generates without validating or encodingit. (OWASP)
ISACA, Cybersecurity
Glossary, 2014
Is a type of computer
security vulnerability typically found in web applications which allow code
injection by malicious web users into the web pages viewed by other users.
Examples of such code include HTML code and client-side scripts. An exploited
cross-site scripting vulnerability can be used by attackers to bypass access
controls such as the same origin policy.
http://en.wikipedia.org/wiki/XSS
An attack technique that
forces a web site to echo client-supplied data, which execute in a users web
browser. When a user is Cross-Site Scripted, the attacker will have access to
all web browser content (cookies, history, application version, etc).
http://www.webappsec.org/projects/glossary/
Vulnérabilité qui est
créée par des techniques de codage non sécurisées, ce qui provoque la
validation d’une entrée incorrecte. Souvent utilisées avec une injection CSRF
et/ou SQL.
http://fr.pcisecuritystandards.org/