Pruebas XSS autorizadas: los límites importan más que el payload
Las pruebas XSS responsables dependen del alcance, la evidencia, la minimización de datos y saber cuándo una prueba de concepto ya es suficiente.
Los payloads XSS son fáciles de copiar. La autorización no.
La diferencia entre una prueba útil y un abuso no está en la cadena que se pega en un formulario. Está en el alcance, el permiso, la intención y la contención. En un entorno de producción con usuarios reales, ese límite deja de ser teórico.
El permiso escrito evita sorpresas
Si el objetivo pertenece a un programa bug bounty, lee la política completa. Si es una evaluación interna, deja el alcance por escrito: dominios, entornos, cuentas, ventanas de prueba, datos excluidos y reglas de reporte. Los detalles aburridos evitan discusiones después.
No improvises con sistemas de identidad, paneles de terceros o funciones expresamente excluidas. Un generador de payloads puede recordarte buenas prácticas, pero la decisión operativa siempre es del tester.
Minimiza la prueba
Para la mayoría de hallazgos XSS no necesitas extraer cookies, leer mensajes privados ni ejecutar acciones de cuenta. Prueba la ejecución de script con un impacto bajo y, si hace falta, demuestra una capacidad segura dentro del mismo origen.
alert(document.domain)
Incluso una prueba simple puede ser disruptiva si queda almacenada y se ejecuta para otros usuarios. Usa registros propios del tester, limpia el payload al terminar y conserva solo la evidencia necesaria.
Detente cuando el hallazgo esté probado
Seguir encadenando impacto sin permiso puede empeorar el reporte y romper la confianza. El objetivo es ayudar a corregir el fallo con evidencia clara, no dramatizarlo.