hola compañeros estudiantes, hoy les hablaré de una vulnerabilidad llamada Cross Site Scripting.
la cual se abrevia como “XSS” porqué “CSS” ya estaba ocupado por “Cascading Style Sheets”
esta vulnerabilidad se basa en inyectar código en una página web, esto con varios motivos, como el phishing, deface, redirigir trafico, etc.
existen 2 tipos de XSS (según OWASP):
almacenados: los que se quedan guardados en el servidor de la página web vulnerable.
también se conoce como "XSS directo"
las etiquetas de html comunes en este tipo de ataque son <iframe> y <script>
reflejados: son en los que el script inyectado se refleja como un mensaje de error en el servidor o un resultado de una búsqueda, estos ataques se mandar por lugares que no sean la página web, por ejemplo un correo electrónico o cualquier otro lado por el que se puedan mandar enlaces.
este ataque también se conoce como “XSS indirecto”
aquí esta mucho mejor explicado: https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
la razón de este blog es que recolectemos una gran cantidad de páginas vulnerables a XSS para de este modo decirle a los administradores que deben de solucionarlo.
Páginas vulnerables:
www.pizza.com
(http://pizza.com/?s=<marquee>xss<%2Fmarquee>)
y no he encontrado más Xs