Descargas: Cross Site Scripting a fondo

=============
Introducción:
=============
Cualquiera puede encontrar una gran cantidad de textos y manuales que traten sobre Cross Site Scripting. El problema es que la mayoría de esos textos no explican a fondo este tema. Mi objetivo con este texto es que el lector entienda a fondo este tipo de vulnerabilidad, que conozca y descubra varios métodos de ataque, y sepa como protegerse contra el Cross Site Scripting.
Para poder comprender este manual en su totalidad, el usuario debe de saber un poco de HTML, y de ser posible algo de JavaScript.
El Cross Site Scripting (XSS) es una vulnerabilidad muy común hoy en día, se puede encontrar en la mayoría de las aplicaciones web en Internet.
Mucha gente ve el XSS como una vulnerabilidad obsoleta, y con este manual voy a demostrar que si se sabe como explotar, puede ser de gran provecho. No por ser un fallo muy común deja de ser importante. Este fallo compromete más que nada, la seguridad del usuario y no la del servidor. Consiste en inyectar código HTML o Javascript en una aplicación web, con el fin de que el navegador de un usuario ejecute el código inyectado al momento de ver la página alterada.
Comúnmente el XSS se utiliza para causar una acción indebida en el navegador de un usuario, pero dependiendo de la vulnerabilidad, puedes explotar el fallo para causar una acción indebida en un servidor o en una aplicación. Esta limitación se debe a que el código HTML se interpreta en el navegador de un usuario y no en el servidor. Así que si alguien inyecta código HTML en alguna aplicación web no podría hacer daño alguno al servidor, ya que éste nunca interpreta el código HTML, solo los navegadores. Por eso este ataque se determina: “ataque del lado del cliente”.
El XSS se puede utilizar para hacer phishing, robo de credenciales, troyanizar navegadores, o simplemente para hacer un deface. Todo depende de la página.