XSS to atak pozwalający na wstrzyknięcie i wykonanie mogącego wykonać złośliwe działanie kodu HTML lub JavaScript. Może to zostać wykorzystane do kradzieży krytycznych danych (na przykład danych sesji) z plików cookie. Jako, że kod zostaje wykonany w kontekście podatnej aplikacji umożliwia to wykonanie innych ataków jak phishing, logowanie klawiatury, czy przekierowanie użytkownika na złośliwą stronę. W przypadku „stored Cross-Site Scripting” wstrzyknięty kod zostaje na stałe umieszczony w aplikacji przez co jest bardziej niebezpieczny od „Reflected Cross-Site Scripting” gdzie atakujący musi podesłać ofierze specjalnie przygotowany link.
W jednej z badanych aplikacji zidentyfikowano wiele parametrów podatnych na wstrzyknięcie kodu javascript. Poniżej zaprezentowany został fragment żądania z zaznaczonym na czerwono wstrzykniętym złośliwym kodem. Wykonuje on akcję wyświetlającą powiadomienie typu Alert, a jego celem jest tylko dokumentacja, że taki atak jest możliwy. Podczas prawdziwego ataku hacker najczęściej za pomocą XSS wykrada ciastko sesyjne.
Na rysunku poniżej widoczne jest wykonanie złośliwego kodu w przeglądarce ofiary poprzez akcję wyświetlającą powiadomienie typu Alert.
