Las vulnerabilidades de las secuencias de comandos entre sitios son extremadamente peligrosas, ya que permiten que el atacante controle el navegador de la víctima en cierta medida.
Esto se puede usar para todo tipo de acciones maliciosas:
- robar cookies confidenciales o leer páginas personales (la cuenta de usuario, mensajes privados, etc.)
- realizar solicitudes en nombre de la víctima (por ejemplo, pedir productos a través de la cuenta de la víctima y enviarlos a una dirección arbitraria)
- explotar la confianza de la víctima en el sitio; por ejemplo, un atacante podría presentar un formulario de inicio de sesión falso y pedirle al usuario que ingrese la contraseña. O bien, pueden engañar al usuario para que descargue un archivo malicioso que parece que está siendo atendido por el sitio.
- atacar el servidor a través de una cuenta privilegiada
Entonces, aunque XSS puede parecer menos peligroso que, por ejemplo, las inyecciones de SQL en el primer sitio, en realidad es una gran amenaza tanto para sus usuarios como para su servidor.