Después de realizar esta pequeña investigación Jessica se preocupó por su seguridad y privacidad, no se quedó con solo esto decidió investigar más aun sobre esta vulnerabilidad.

Básicamente existen 3 tipos de ataques XSS

• Reflejado (Reflected XSS): El atacante envía un enlace malicioso a una víctima, que, al hacer clic en él, envía datos al servidor. El servidor procesa los datos y luego los devuelve al navegador de la víctima como una respuesta. Si los datos no se validan correctamente en el servidor, el código malicioso puede ejecutarse en el navegador de la víctima.
• Almacenado (Stored XSS): El atacante puede almacenar código malicioso en el servidor, como en una base de datos, y luego hacer que el navegador de la víctima solicite esos datos. Si los datos no se validan correctamente antes de enviarlos al navegador, el código malicioso puede ejecutarse en el navegador de la víctima.
• DOM-Based (DOM XSS): Este tipo de ataque ocurre cuando el código malicioso se ejecuta en el lado del cliente sin pasar por el servidor. El ataque se produce cuando se confía en los datos de entrada y se reflejan directamente en el DOM sin ser validados adecuadamente.

Ya teniendo alguna noción de los tipos de ataques, ella reviso su historial y pudo examinar el enlace sospechoso al cual había dado clic y se dio cuenta de que el ataque reflejado (Reflected XSS) podría haber sido el responsable. Ella sospechaba que el ataque reflejado era el culpable porque parecía que el código malicioso se ejecutaba directamente en el navegador después de hacer clic en el enlace sospechoso.

Además, también investigó el almacenado (Stored XSS) y el basado en DOM (DOM-based XSS), pero no encontró evidencia de que su cuenta hubiera sido afectada por estos tipos de ataques.

Jessica siguió investigando y en internet consiguió a más personas que habían sucedido lo mismo, la red social tenía un error de seguridad que permitía que los datos enviados por los usuarios no fueran validados adecuadamente en el servidor. El atacante aprovechó este error para enviar datos maliciosos al servidor, que se reflejaron en la página de los usuarios al hacer clic en el enlace sospechoso.

Con toda esta información ahora ella sabía que era un XSS y que al navegar un usuario debe tener cuidado con respecto a la información y enlace que visita de esta manera ella pudo adoptar algunas medidas que la ayudarían de ahora en adelante para no volver a caer en este tipo de ataques como, por ejemplo: 

• Verificar la fuente del enlace: Antes de hacer clic en cualquier enlace sospechoso, se debe haber examinado cuidadosamente la fuente del enlace para asegurarse de que provenga de una fuente confiable y legítima. En este caso se podría haber verificado la dirección URL y la fuente del mensaje para asegurarse de que sean auténticas y no parezcan sospechosas.
• Mantener actualizado el software del navegador: Mantener actualizado su navegador a la última versión disponible. Los navegadores modernos tienen medidas de seguridad integradas que pueden proteger a los usuarios de los ataques de XSS y otras vulnerabilidades.
• Utilizar un plugin de seguridad: Instalar un plugin de seguridad en su navegador que pueda ayudarlo a detectar y bloquear los ataques de XSS y otros tipos de amenazas en línea existen muchos de ellos que funcionan muy bien para darte esa ayuda extra que necesitas.
  
  

Para finalizar Jessica no quiso que esto siguiera pasando por lo que decidió hacer algo para ayudar a todos los futuros usuarios, ella mando un mensaje al soporte de la red social y les explico lo que sucedía y les solicito realizar una validación en la entrada de los datos del usuario en el servidor, esto es un factor de suma importancia para evitar los XSS y mantener tu aplicación lo más segura posible.

Pocos días después recibió un mensaje del soporte de la red social en el cual le daban las gracias por reportar dicha brecha y que se sentían muy agradecidos por su aviso, comentándole también que gracias a ella habían podido resolver el problema dentro del aplicativo.