Búsqueda
Buscar en el blog.
Pruebas XSS autorizadas: los límites importan más que el payload
Las pruebas XSS responsables dependen del alcance, la evidencia, la minimización de datos y saber cuándo una prueba de concepto ya es suficiente.
Por qué un generador de payloads XSS debe quedarse del lado del cliente
Una mirada práctica a por qué las herramientas XSS no deberían procesar en servidor URLs internas, fragmentos privados o notas sensibles de pruebas.
Primero el contexto: la parte de las pruebas XSS que aún se apresura
La elección del payload importa menos que el contexto de inyección: HTML, atributos, URLs, scripts y sinks DOM fallan de formas distintas.
CSP no corrige XSS. Con suerte limita el impacto
Content Security Policy ayuda, pero no sustituye el encoding contextual, las APIs DOM seguras ni la eliminación de sinks peligrosos.
Plantillas XSS personalizadas con guardrails reales
Las plantillas personalizadas son útiles, pero necesitan validación, nombres claros y límites para no romper flujos de prueba.
Depurar DOM XSS siguiendo el flujo real de datos
DOM XSS se entiende mejor siguiendo fuentes, transformaciones y sinks en lugar de probar payloads al azar.
Colecciones locales para pruebas de regresión XSS
Guardar conjuntos de payloads localmente ayuda a repetir pruebas sin convertir la herramienta en un almacén remoto de datos sensibles.
Diseñar un playground XSS seguro sin autoengañarse
Un playground XSS debe aislar la ejecución, explicar sus límites y evitar dar una falsa sensación de seguridad.
WAF y filtros XSS: lo que se rompe en producción
Los filtros pueden reducir ruido, pero en producción suelen normalizar, bloquear o transformar payloads de formas que cambian la prueba.
Escribir reportes XSS que los desarrolladores puedan corregir
Un buen reporte XSS explica contexto, fuente, sink, impacto y corrección sin obligar al equipo a adivinar.
Orden de encoding XSS: por qué la secuencia cambia el resultado
URL encoding, entidades HTML y Base64 no son intercambiables: el orden debe reflejar cómo la aplicación transforma la entrada.
Bienvenido a xsspayloads
Presentamos xsspayloads: un generador de payloads XSS 100% client-side para pruebas autorizadas, bug bounty, CTF e investigación.