XSS to atak pozwalający na wstrzyknięcie i wykonanie mogącego wykonać złośliwe działanie kodu HTML lub JavaScript. Może to zostać wykorzystane do kradzieży krytycznych danych (na przykład danych sesji) z plików cookie. Jako, że kod zostaje wykonany w kontekście podatnej aplikacji umożliwia to wykonanie innych ataków jak phishing, logowanie klawiatury, czy przekierowanie użytkownika na złośliwą stronę. W przypadku „stored Cross-Site Scripting” wstrzyknięty kod zostaje na stałe umieszczony w aplikacji przez co jest bardziej niebezpieczny od „Reflected Cross-Site Scripting” gdzie atakujący musi podesłać ofierze specjalnie przygotowany link.
W jednej z badanych aplikacji zidentyfikowano wiele parametrów podatnych na wstrzyknięcie kodu javascript. Poniżej zaprezentowany został fragment żądania z zaznaczonym na czerwono wstrzykniętym złośliwym kodem. Wykonuje on akcję wyświetlającą powiadomienie typu Alert, a jego celem jest tylko dokumentacja, że taki atak jest możliwy. Podczas prawdziwego ataku hacker najczęściej za pomocą XSS wykrada ciastko sesyjne.
![fragment żądania z zaznaczonym na czerwono wstrzykniętym złośliwym kodem](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_869,h_429/https://my127001.pl/wp-content/uploads/2019/01/xss.png)
Na rysunku poniżej widoczne jest wykonanie złośliwego kodu w przeglądarce ofiary poprzez akcję wyświetlającą powiadomienie typu Alert.
![wykonanie złośliwego kodu w przeglądarce ofiary poprzez akcję wyświetlającą powiadomienie typu Alert](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_607,h_546/https://my127001.pl/wp-content/uploads/2019/01/xsswykonanie.png)