XSS
El XSS (Cross-Site Scripting) es un ataque web en el que el atacante inyecta código JavaScript malicioso en una página legítima vulnerable; cuando otros usuarios visitan la página, su navegador ejecuta ese script, lo que permite robar cookies de sesión, credenciales o redirigir a sitios falsos.
Qué es XSS
XSS (Cross-Site Scripting) consiste en inyectar código JavaScript en una web vulnerable. Cuando otros usuarios visitan esa página, su navegador ejecuta el script, que puede robar cookies, credenciales o redirigir.
Cómo funciona
En un comentario o búsqueda mal sanitizada, el atacante mete <script>...</script>. Cuando otros usuarios cargan la página, su navegador ejecuta el script. Si captura cookies de sesión, el atacante puede suplantar a esos usuarios.
Cómo protegerte
Como usuario: navegadores modernos mitigan mucho XSS. Cuidado con webs sospechosas. Como desarrollador: sanitizar inputs, escapar outputs, usar frameworks modernos (React/Vue lo previenen por defecto).
Datos curiosos
- Está en el OWASP Top 10 desde su creación.
- Hay tres tipos: stored (persistente), reflected (vía URL), DOM-based.
- Causó hacks famosos en MySpace (Samy worm 2005), Twitter (StalkDaily 2009).
Preguntas frecuentes
¿Diferencia con SQL Injection?
SQLi: ataca a la base de datos. XSS: ataca a otros usuarios de la web.
¿Cómo me protejo?
Mantener navegador actualizado. Cuidado con webs dudosas que carguen desde dominios extraños.
¿Sigue siendo común?
Sí. Frameworks modernos lo previenen, pero web personalizada antigua sigue vulnerable.