Reflective Cross Site Scripting

Los ataques XSS reflejados ocurren cuando una aplicación web vulnerable inyecta código o scripts maliciosos utilizando cualquier método que genere una respuesta como parte de una solicitud HTTP válida.En el momento que la víctima entra a la página web se ejecuta el ataque,como en un mensaje de error, resultado de búsqueda.

https://insecure-website.com/status?message=All+is+well. <p>Status: All is well.</p>

La aplicación no realiza ningún otro procesamiento de los datos, por lo que un atacante puede fácilmente construir un ataque como este:

https://insecure-website.com/status?message=<script>/*+Bad+stuff+here...+*/</script> <p>Status: <script>/* Bad stuff here... */</script></p>

Si el usuario visita la URL construida por el atacante, entonces el script del atacante se ejecuta en el navegador del usuario

Recursos

What is reflected XSS (cross-site scripting)? Tutorial & Examples | Web Security AcademyWebSecAcademy

Reflected XSS: Examples, Testing, and PreventionBright Security

Cross Site Scripting (XSS) Software Attack | OWASP Foundation

Cross-site scripting (reflected)

What is reflected XSS (cross-site scripting)? Tutorial & Examples | Web Security AcademyWebSecAcademy