El XSS Almacenado (Stored o Persistent) es considerado la variante más peligrosa de Cross-Site Scripting. Ocurre cuando la aplicación guarda el input malicioso en el servidor (base de datos, sistema de archivos, logs) y luego lo sirve a otros usuarios sin sanitización.
Vectores de Persistencia
En nuestra plataforma académica, existen múltiples puntos de inyección persistente:
- Foros de Discusión: Un post malicioso afecta a cualquier lector del hilo.
- Perfiles de Usuario: Inyecciones en campos como "Biografía" o "Nombre" se ejecutan al visualizar el perfil.
- Mensajería: Permite ataques dirigidos (Spear Phishing) dentro de la plataforma.
Escenarios de Explotación Avanzada
- Gusanos XSS (Worms): Un script que no solo roba datos, sino que se replica a sí mismo publicando nuevos posts en nombre de la víctima, propagando la infección exponencialmente (ej. Gusano Samy de MySpace).
- Hooking de Navegador: Integración con frameworks como BeEF para controlar el navegador de la víctima en tiempo real.
- Keylogging: Inyección de event listeners para capturar pulsaciones de teclas y enviarlas a un servidor C2 (Command & Control).