English
日本語
Aprende y practica Cross-Site Scripting (XSS) de forma totalmente segura y aislada. Este laboratorio incluye 20 escenarios reales y simulados, cada uno con:
- 🟢 Explicación en lenguaje sencillo
- 🔵 Explicación técnica
- 🟣 Ejemplo real de uso
- 🟠 Payload sugerido
- 🟩 Ejecución sandboxed (segura)
- 🟦 Área para editar y probar tus propios payloads
- 🟦 innerHTML — Inserción directa de HTML sin filtrar
- 🟥 location.hash — Reflejo del hash de la URL sin validar
- 🟧 document.write — Inyección en tiempo de carga
- 🟪 eval() — Ejecución de JavaScript controlado por el usuario
- 🟨 img onerror — Ejecución mediante eventos de imagen
- 🟩 iframe.srcdoc — HTML inyectado dentro de iframes
- 🔵 insertAdjacentHTML — Inserción de HTML en el DOM
- 🔴 onclick attribute — Inyección en atributos de eventos
- 🟠 query param (?q=) — Reflejo directo de parámetros en la página
- 🟣 script tag innerHTML — Creación insegura de etiquetas <script>
- 🟩 Stored XSS (simulación) — Payload persistente almacenado
- 🟦 SVG con eventos — XSS mediante imágenes vectoriales
- 🟥 javascript: href — Enlaces que ejecutan código
- 🟧 data: URI en imágenes — Payloads embebidos en data-URIs
- 🟪 template.innerHTML — Uso inseguro de plantillas HTML
- 🟨 JSONP / callback injection — Ejecución vía funciones callback
- 🔵 postMessage reflection (DOM XSS) — Reflejo de mensajes entre ventanas
- 🔴 CSS injection (style=) — Inyección dentro de estilos
- 🟠 DOM Mutation Insertion — Inserción cuando el DOM muta
- 🟣 CSP bypass (unsafe-inline) — Bypass por políticas laxas de CSP
- HTML5 + CSS3
- JavaScript vanilla (sin frameworks)
- FontAwesome
- Entorno aislado / DOM sandbox
├── index.html # Index principal de la portada
├── index-lab-xxs.html # Index principal del laboratorio
├── app.js # Funciones javascript del proyecto generales
├── styles.css # css principal del index.html
├── styles-lab-xxs.css # css principal del index-lab-xxs.htmlhttps://cyberiuscompany.github.io/CyXSSLab/