Introducción a XSS (Cross-Site Scripting)

El Cross-Site Scripting (XSS) es una vulnerabilidad de seguridad que permite a los atacantes inyectar scripts maliciosos en páginas web vistas por otros usuarios. Esto puede llevar a una variedad de ataques, como el robo de cookies, secuestro de sesiones, y más.

Ejemplos de Código Vulnerable

<?php
echo "<h2>". $_GET['title'] ."</h2>";
?>

En el ejemplo anterior, el valor del parámetro `title` es directamente insertado en el HTML sin ninguna validación ni escape, lo que puede llevar a XSS.

Lista de Vectores de Ataque

• Reflected XSS
• Stored XSS
• DOM-based XSS

Qué Pueden Hacer los Atacantes con XSS

• Robo de cookies de sesión
• Redirección a sitios maliciosos
• Modificación de contenido de la página
• Ejecutar scripts maliciosos en el navegador del usuario

Ejemplos Interactivos

Reflected XSS

Cookies

URL (Base64)

Ejemplo de URL con datos en base64: Ver Script

ATTR (Atributos)

COMBO (Parámetro GET)