Las vulnerabilidades de Cross Site Scripting ocurren cuando una aplicación incluye datos no confiables en una página web sin la validación y escape adecuados (sin neutralizar esos caracteres especiales que separan el flujo de control de los datos).
En las aplicaciones modernas, como las Single Page Applications desarrolladas con React, AngularJS, Vue.js, o aquellas que hacen un uso intensivo de JavaScript y jQuery, el problema de XSS se presenta cuando se actualiza una página web existente con datos enviados por el usuario utilizando una API del navegador que crea HTML o JavaScript.
Los XSS permiten a un atacante ejecutar scripts en el navegador de la víctima y, por lo tanto, pueden tomar el control de la sesión del usuario, realizar el Deface (cambiar la apariencia) del sitio web, o redirigir a los usuarios a un sitio malicioso.
| OWASP Top 10 Application Security Risks - 2017 | Referencia |
|---|---|
| A7:2017-Cross-Site Scripting (XSS) | OWASP |
Los XSS entran en el ámbito de las vulnerabilidades de inyección ya que falta la separación entre el flujo de control (las etiquetas HTML y la estructura DOM de la página web) y los datos enviados por el usuario o recuperados de la base de datos.
Una vez que el flujo de control y los datos se aplanan en un único flujo textual, el navegador no tendrá forma de reconstruir las intenciones iniciales del desarrollador, y por lo tanto ejecutará ciegamente el código malicioso inyectado por el atacante.Francesco Ongaro
