XSS es un ataque que le permite inyectar y ejecutar HTML malicioso o JavaScript. Esto se puede utilizar para robar datos críticos (por ejemplo, datos de sesión) de las cookies. Como el código se ejecuta en el contexto de una aplicación vulnerable, esto le permite realizar otros ataques como phishing, inicio de sesión con teclado o redirigir al usuario a un sitio web malicioso. En el caso de " secuencias decomandos entre sitios almacenadas", el código inyectado se coloca permanentemente en la aplicación, lo que la hace más peligrosa que las "secuencias de comandos entre sitios reflejadas", donde el atacante debe enviar a la víctima un enlace especialmente preparado.
Una de las aplicaciones estudiadas identificó muchos parámetros que eran susceptibles a la inyección de javascript. El siguiente es un extracto de la solicitud con el código malicioso marcado en rojo. Realiza una acción que muestra una notificación de alertay solo se dirige a la documentación de que es posible un ataque de este tipo. Durante un ataque de hackers real, la mayoría de las veces el uso de XSS roba un pastel de sesión.
En la figura siguiente, puede ver la ejecución de código malicioso en el navegador de la víctima a través de una acción que muestra una notificación de alerta.
