Compétences Cross-Site Scripting and HTML Injection Testing
🛡️

Cross-Site Scripting and HTML Injection Testing

Risque faible ⚡ Contient des scripts🌐 Accès réseau

Probar aplicaciones web para vulnerabilidades XSS

Las aplicaciones web enfrentan amenazas constantes de ataques XSS que comprometen las sesiones y los datos de los usuarios. Esta habilidad proporciona a los profesionales de la seguridad metodologías de prueba sistemáticas para identificar y remediar fallas de inyección del lado del cliente antes de que los atacantes las exploten.

Prend en charge: Claude Codex Code(CC)
📊 70 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "Cross-Site Scripting and HTML Injection Testing". Probar parámetro de búsqueda ?q= para XSS reflejado

Résultat attendu:

VULNERABLE: Entrada reflejada sin codificación. El payload <img src=x onerror=alert(document.domain)> se ejecuta correctamente. El servidor devuelve el término de búsqueda en el cuerpo HTML sin codificación de entidades HTML, permitiendo ejecución de script arbitraria.

Utilisation de "Cross-Site Scripting and HTML Injection Testing". Analizar campo de comentarios para XSS almacenado con protección CSP

Résultat attendu:

PROTEGIDO: Aunque la entrada se almacena y refleja, el encabezado CSP 'script-src 'self'' bloquea la ejecución de scripts en línea. Los vectores alternativos probados (endpoints JSONP, URIs de datos) también están bloqueados por CSP. Se recomienda mantener la configuración actual de CSP.

Utilisation de "Cross-Site Scripting and HTML Injection Testing". Probar XSS DOM en enrutamiento de aplicación de página única

Résultat attendu:

VULNERABLE: Parámetro de ruta escrito en innerHTML en la línea 47 sin sanitización. La URL /profile/<img src=x onerror=alert(1)> activa la ejecución del script. Ataque solo del lado del cliente - el payload nunca llega a los logs del servidor.

Audit de sécurité

Risque faible
v1 • 2/24/2026

This skill is documentation for authorized XSS and HTML injection security testing. Static analyzer flagged markdown code examples as threats, but these are educational payloads for penetration testers, not executable malicious code. The skill includes proper legal/ethical guardrails requiring written authorization. Risk is low as content is instructional documentation, not functional exploit code.

1
Fichiers analysés
500
Lignes analysées
3
résultats
1
Total des audits
Problèmes à risque faible (1)
SKILL.md:125-149
Offensive Security Content
Skill contains detailed instructions for cookie theft, session hijacking, and keylogger injection. While educational, this content could be misused by bad actors without proper authorization frameworks.

Facteurs de risque

⚡ Contient des scripts (1)
SKILL.md:188-196
🌐 Accès réseau (2)
SKILL.md:122-137 SKILL.md:373-388
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
88
Sécurité
74
Conformité aux spécifications

Ce que vous pouvez construire

Auditoría de seguridad para aplicaciones web

Realizar una evaluación integral de vulnerabilidades XSS en sitios web de clientes antes del despliegue para identificar fallas de inyección que podrían comprometer los datos y las sesiones de los usuarios.

Capacitación de seguridad para desarrolladores

Usar ejemplos y payloads de XSS en entornos de laboratorio controlados para enseñar a los equipos de desarrollo sobre las causas fundamentales de las vulnerabilidades de inyección y las técnicas de prevención.

Investigación de bug bounty

Probar sistemáticamente aplicaciones dentro del alcance para encontrar vulnerabilidades XSS usando payloads documentados y técnicas de evasión para descubrir problemas de seguridad reportables.

Essayez ces prompts

Detección básica de XSS 
Analiza este campo de entrada de aplicación web en busca de vulnerabilidades XSS. Prueba con payloads básicos como <script>alert(1)</script> y <img src=x onerror=alert(1)>. Reporta si la entrada se refleja y si los scripts se ejecutan.
Evaluación de XSS almacenado 
Prueba el sistema de comentarios de este blog para XSS almacenado. Crea una cuenta de prueba, envía payloads en los cuerpos de los comentarios, luego verifica si persisten y se ejecutan para otros usuarios. Documenta el punto de inyección y el payload que tuvo éxito.
Análisis de DOM 
 XSS basado enExamina el código JavaScript que maneja fragmentos de hash de URL y eventos postMessage. Identifica sinks peligrosos como innerHTML y eval que procesan datos controlados por el usuario. Proporciona payloads de explotación para cada patrón vulnerable encontrado.
Pruebas de evasión de CSP 
El sitio objetivo tiene encabezado CSP con script-src 'self' https://cdn.trusted.com. Encuentra endpoints JSONP en el CDN de confianza que podrían abusarse para ejecutar JavaScript arbitrario. Prueba cada endpoint con callback alert(1).

Bonnes pratiques

  • Siempre obtener autorización por escrito que defina el alcance, los objetivos y los procedimientos de manejo de datos antes de probar
  • Usar cuentas y entornos de prueba aislados para evitar impactar usuarios reales o datos de producción
  • Documentar todos los hallazgos con pasos de reproducción, clasificaciones de severidad y guía de remediación para desarrolladores

Éviter

  • Nunca probar payloads XSS en sistemas de producción sin autorización por escrito explícita del propietario
  • No usar payloads similares a gusanos que se propaguen automáticamente a otros usuarios más allá de tu alcance de prueba
  • Evitar exfiltrar datos reales de usuarios - capturar solo tus propias cookies de prueba con fines de demostración

Foire aux questions

¿Es legal usar esta habilidad?
Solo cuando tienes autorización por escrito explícita del propietario del sistema. Las pruebas de XSS no autorizadas violan las leyes de delitos informáticos en la mayoría de las jurisdicciones. Siempre define el alcance, los objetivos y el manejo de datos en un acuerdo firmado antes de probar.
¿Cuál es la diferencia entre XSS e inyección HTML?
XSS involucra la ejecución de JavaScript en el navegador de la víctima, permitiendo el robo de sesiones y acciones en nombre del usuario. La inyección HTML solo renderiza contenido HTML sin ejecución de scripts, típicamente usada para phishing o desfiguración pero con menor impacto.
¿Por qué los payloads fallan en sitios web modernos?
Los marcos modernos como React, Angular y Vue escapan automáticamente las salidas por defecto. Además, los encabezados de Content Security Policy, las bibliotecas de sanitización de entrada y los WAF bloquean muchos vectores XSS tradicionales. Prueba múltiples técnicas de evasión y variaciones de codificación.
¿Puede esta habilidad probar XSS ciego?
El XSS ciego requiere servidores de callback externos para detectar la ejecución diferida cuando los payloads se almacenan y ven más tarde por los administradores. Esta habilidad documenta las técnicas pero debes configurar tu propia infraestructura de callback para pruebas de XSS ciego.
¿Qué debo hacer si encuentro vulnerabilidades XSS críticas?
Documenta la vulnerabilidad con pasos de demostración y demostración de impacto usando alert(1) solo - no robes datos reales. Reporta inmediatamente al propietario del sistema según tu acuerdo de autorización. Sigue prácticas de divulgación responsable.
¿Esto funciona en aplicaciones móviles?
Las aplicaciones móviles que usan componentes WebView pueden ser vulnerables a XSS si cargan contenido web o aceptan URLs. Los mismos principios de prueba aplican, pero necesitas interceptar el tráfico de la aplicación usando herramientas como Burp Suite o Frida para inspección de WebView.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/web-app/public/skills/xss-html-injection

Réf

main

Structure de fichiers

📄 SKILL.md