Hasta la fecha, el XSS nunca no se ha utilizado para generar virus. . Los virus de XSS podrían tener un impacto significativo para la continuidad del Internet, incluyendo distributed denial of service (DDOS), del Spam y de la difusión de Exploits del browser. Esto es particularmente relevante con la sofisticación de aumento de los web browsers y el renombre cada vez mayor de usos basados en aplicaciones tales como Wikis y Blogs.

Sinteticamente, el XSS se puede dividir en dos áreas: permanente y transitorio. XSS transitorio retorna inmediatamente y no permanece en el servidor. Por el contrario, XSS permanente, permanecerá en el servidor y retornara a cualquier browser que solicite la página infectada.

Prueba del concepto:
La prueba de concepto siguiente demuestra un virus de XSS. Ilustra  un XSS permanente dentro de una web. En este caso, la vulnerabilidad es explotable vía una  ¨get request¨, que permite que un virus sea creado.Cuando este código es ejecutado por los browsers , da lugar a su infección.

Una página , con un XSS permanente ,hecha de PHP se puede infectar con un virus. La página acepta un valor del parámetro (param) y lo escribe a un archivo (file.txt). Este archivo entonces retorna ante la peticion del browser. El archivo contendrá el valor previo del parámetro "param". Si no se pasa ningún parámetro exhibirá el archivo sin actualizar.


Una web, entonces, fue infectada con el código que recupera un archivo javascript y lo ejecuta.
Para simplificar, un archivo javascript (xssv.jsp) como el siguiente:



Para auto-propagarse se usa un iframe que de vez en cuando es recargado usando la funcion loadIframe () .El  IP ADDRESS del iframe es seleccionado al azar dentro de la subred de 10.0.0.0/24 vía la función get_random_ip (). El virus XSS usa una combinación de estas dos funciones y la invocación continua periódica que usa la funcion setInterval ().

Javascipt: xssv.jsp

Diferencias Con los Virus Convencionales:
Los virus convencionales residen y se ejecutan en el mismo sistema. Los virus de XSS separan estos dos requisitos en una relación simbiótica entre el servidor y el browser. La ejecución ocurre en el browser del cliente y el código reside en el servidor.
La falta de discriminación de la plataforma también distingue un virus de XSS de sus contrapartes convencionales. Esto es debido a la encapsulación dentro del HTML y del protocolo de HTTP/HTTPS. Estos estándares se apoyan en la mayoría de los browsers que funcionan en una variedad de sistemas operativos, haciendo los virus XSS de  plataforma independiente. Esta independencia de la plataforma aumenta el número de los usos potenciales de aplicaciones web que pueden ser infectados.

Infección:
la infección del virus XSS ocurre en dos etapas y generalmente en por lo menos dos dispositivos. Como tal, hay dos clases de infecciones que trabajen simbioticamente.

El servidor se infecta con el código que no ejecuta. La segunda etapa es infección del browser. El código inyectado se carga del sitio en el web browser y se ejecuta. La ejecución entonces busca los servidores nuevos que se explotarán y potencialmente ejecuta su carga útil. Típicamente, habrá un servidor infectando a muchos browsers.

Carga útil:
Como virus convencionales, los virus de XSS son capaces de entregar cargas útiles. Las cargas útiles serán ejecutadas en el browser y tener la restricción del código HTML. Es decir, la carga útil puede realizar funciones HTML, incluyendo javascript.

Mientras que esto plantea limitaciones, los virus de XSS siguen siendo capaces de actividad maliciosa. Por ejemplo, la carga útil podría entregar un ataque de DDOS, exhibir Spam o contener exploit del browser.

Fuente:securiteam

Salu2