Cuando los usuarios malintencionados y los atacantes intentan robar datos utilizando XSS, pueden enviar atributos como document.cookie a un servidor malicioso, ¿correcto? ¿Este atributo tiene todas las cookies de un usuario para un sitio web en particular o solo uno para el sitio específico que la página ha visitado?
Si escribe una lista negra, ¿qué otros atributos puede encontrar un atacante valioso además de las cookies de página?
En este caso particular, solo tendría los datos de cookies del sitio web.
La idea de un ataque XSS es obtener un sitio web que el atacante no controle para incrustar código Javascript arbitrario de manera que cuando un usuario abre el sitio web, su navegador web ejecuta Javascript como si fuera un JavaScript normal incrustado en el sitio web. Esto se puede usar para obtener acceso a cualquier información disponible para Javascript ejecutado en ese sitio web. Javascript solo puede acceder a los datos de las cookies del dominio en el que se ejecuta (y solo aquellos que no tienen el conjunto de indicadores de solo http). No es posible usar Javascript solo para obtener datos de cookies de un dominio diferente.
Con respecto a qué otros datos puede encontrar un ataque XSS: puede leer el contenido del documento HTML en el que se ejecuta. Entonces, cuando el documento html con una vulnerabilidad XSS también incluye cualquier otra información personal, esa información se puede extraer y enviar al atacante.