Generalmente denominada por su nomenclatura inglesa, Cross-Site Scripting , este tipo de vulnerabilidad en las aplicaciones son muchas veces infravaloradas por los equipos de desarrollo de las empresas, porque tradicionalmente se han asociado a ataques puramente del navegador que afectan al cliente, sin ir más allá de algún enlace como intento de phishing, etc. Pero la realidad es que este tipo de ataques, especialmente combinados con la explotación de otras vulnerabilidades existentes, puede ocasionar un perjuicio importante. Consisten principalmente en la inyección de código malicioso (generalmente JavaScript , aunque también vbscript en casos concretos), en el contenido de aplicaciones o páginas web que otros usuarios pueden ver. Mediante este código, se pueden llegar a robar datos sensibles, como cookies o credenciales, redirigir al usuario a sitios maliciosos, o suplantar la identidad del usuario afectado, para realizar acciones en su nombre sin su consentimiento. Hay v...