Skip to content

WAF y filtros XSS: lo que se rompe en producción

Los filtros pueden reducir ruido, pero en producción suelen normalizar, bloquear o transformar payloads de formas que cambian la prueba.

Publicado el 1 min de lectura

Los WAF y filtros no son decorado. Cambian lo que llega a la aplicación y, por tanto, cambian la prueba XSS.

A veces bloquean una cadena obvia. A veces decodifican una capa. A veces registran, truncan o normalizan caracteres antes de que el backend vea la entrada. Ignorar esa realidad produce conclusiones falsas.

Bloqueado no significa arreglado

Si un filtro bloquea <script>, el bug de encoding puede seguir existiendo. La pregunta correcta es si una entrada no confiable puede alcanzar un contexto peligroso con alguna forma válida para la aplicación.

Observa la transformación

Compara lo enviado, lo recibido y lo renderizado. Si puedes mostrar dónde se transformó el valor, el reporte será más útil para desarrollo y seguridad.

Producción tiene fricción

Rate limits, reglas regionales, proxies y cabeceras distintas pueden cambiar el resultado. Documenta el entorno exacto de la prueba antes de afirmar bypass o mitigación.

Artículos relacionados

Las pruebas XSS responsables dependen del alcance, la evidencia, la minimización de datos y saber cuándo una prueba de concepto ya es suficiente.
Una mirada práctica a por qué las herramientas XSS no deberían procesar en servidor URLs internas, fragmentos privados o notas sensibles de pruebas.
La elección del payload importa menos que el contexto de inyección: HTML, atributos, URLs, scripts y sinks DOM fallan de formas distintas.