Escribir reportes XSS que los desarrolladores puedan corregir
Un buen reporte XSS explica contexto, fuente, sink, impacto y corrección sin obligar al equipo a adivinar.
Un reporte XSS útil no empieza ni termina con un payload. El payload prueba algo, pero el equipo de desarrollo necesita entender qué se rompió y dónde.
Explica el contexto
Indica si la entrada cae en HTML, atributo, URL, script o DOM sink. Incluye la ruta exacta para reproducir y el estado necesario de la cuenta.
Muestra evidencia mínima
Una captura con alert(1) rara vez basta. Añade la entrada enviada, la salida renderizada y la razón por la que el navegador ejecutó código. Si CSP bloqueó la ejecución, incluye el error de consola.
Propón una corrección concreta
No digas solo “sanitizar input”. Habla de encoding contextual, APIs DOM seguras, eliminación de innerHTML o una librería de sanitización adecuada. Un reporte que reduce la ambigüedad se corrige más rápido.