XSS è un attacco che consente di iniettare ed eseguire HTML o JavaScript dannosi. Questo può essere utilizzato per rubare dati critici (ad esempio, dati di sessione) dai cookie. Poiché il codice viene eseguito nel contesto di un'applicazione vulnerabile, ciò consente di eseguire altri attacchi come phishing, accesso da tastiera o reindirizzamento dell'utente a un sito Web dannoso. Nel caso di "stored Cross-Site Scripting" il codice inserito viene inserito permanentemente nell'applicazione, il che lo rende più pericoloso di "Reflected Cross-Site Scripting" dove l'attaccante deve inviare alla vittima un collegamento appositamente preparato.
Una delle applicazioni studiate ha identificato molti parametri suscettibili all'iniezione javascript. Di seguito è riportato un estratto della richiesta con il codice dannoso contrassegnato in rosso. Esegue un'azione che visualizza una notifica di avviso e prendedi mira solo la documentazione che tale attacco è possibile. Durante un vero attacco hacker, il più delle volte l'utilizzo di XSS ruba una torta di sessione.
Nella figura seguente, è possibile vedere l'esecuzione di codice dannoso nel browser della vittima attraverso un'azione che visualizza una notifica di avviso.
