Si uno de los usos comunes de XSS es robar cookies que se enviarán al servidor del atacante, ¿no es tan fácil identificar al atacante?
Esto no es como un SQLi, por ejemplo, que puede explotar utilizando VPN y cadenas de proxy. En este caso, debe proporcionar una URL que pueda controlar para recuperar el host, por lo tanto, se le puede rastrear fácilmente. ¿Estoy equivocado?
Solo los principiantes emplearían su propio dominio para ejecutar el ataque de robo de cookies descrito. La mayoría de los atacantes usarán un dominio comprometido , generalmente vulnerable a una explotación pública.
Por lo tanto, es probable que cualquier actividad de seguimiento lleve a una aplicación web comprometida, sin proporcionar información sobre el atacante real.
Además, un atacante que explota una vulnerabilidad XSS almacenada puede hacerlo detrás de una VPN o un proxy, concibiendo efectivamente su propia posición e identidad.
Lea otras preguntas en las etiquetas xss