XSS
Ataque que inyecta JavaScript malicioso en una web legítima. Los visitantes ejecutan ese código sin saberlo.
Qué es XSS
XSS (Cross-Site Scripting) consiste en inyectar código JavaScript en una web vulnerable. Cuando otros usuarios visitan esa página, su navegador ejecuta el script, que puede robar cookies, credenciales o redirigir.
Cómo funciona
En un comentario o búsqueda mal sanitizada, el atacante mete <script>...</script>. Cuando otros usuarios cargan la página, su navegador ejecuta el script. Si captura cookies de sesión, el atacante puede suplantar a esos usuarios.
Cómo protegerte
Como usuario: navegadores modernos mitigan mucho XSS. Cuidado con webs sospechosas. Como desarrollador: sanitizar inputs, escapar outputs, usar frameworks modernos (React/Vue lo previenen por defecto).
Datos curiosos
- Está en el OWASP Top 10 desde su creación.
- Hay tres tipos: stored (persistente), reflected (vía URL), DOM-based.
- Causó hacks famosos en MySpace (Samy worm 2005), Twitter (StalkDaily 2009).
Preguntas frecuentes
¿Diferencia con SQL Injection?
SQLi: ataca a la base de datos. XSS: ataca a otros usuarios de la web.
¿Cómo me protejo?
Mantener navegador actualizado. Cuidado con webs dudosas que carguen desde dominios extraños.
¿Sigue siendo común?
Sí. Frameworks modernos lo previenen, pero web personalizada antigua sigue vulnerable.