• Mostraría en pantalla el mensaje que indiquemos, esta sentencia sirve para confirmar si efectivamente la aplicación web es vulnerable a un ataque XSS.

• Abre una ventana con el website que hayamos introducido; obviamente si pusiéramos un website malicioso el resultado sería «interesante».

• Es el ejemplo anterior, pero sería invisible para el usuario. ¿Qué sentido tiene incrustar un website que no puede ver nadie? Cuando dicho website es en realidad, por ejemplo, un payload de Metasploit en Java, el usuario al abrir su website no será consciente de qué ha ocurrido.

• Sería otro ejemplo pero que esta vez, redirigiría a los usuarios a ese website sí o sí.

• Este en cambio ejecutaría un script en Javascript. De nuevo, si el atacante pusiera una ruta con un Javascript malicioso, podría hacer que las personas naveguen por dicho website sin percatarse de qué ha ocurrido.

Estos comandos son ejemplos del potencial de los ataques XSS, pero los alumnos pueden desarrollar los suyos propios, ya que en esencia es programación de aplicaciones web, un tema común que puede encontrarse en cualquier tipo de website para comenzar un tutorial sobre ese punto.