Le vulnerabilità di cross-site scripting sono estremamente pericolose, in quanto consentono all'utente malintenzionato di controllare in qualche modo il browser della vittima.
Può essere utilizzato per tutti i tipi di azioni dannose:
- rubare cookie sensibili o leggere pagine personali (account utente, messaggi privati, ecc.)
- effettuare richieste per conto della vittima (ad esempio, ordinare prodotti tramite l'account della vittima e inviarli a un indirizzo arbitrario)
- esplodere la fiducia della vittima nel sito; ad esempio, un utente malintenzionato potrebbe rendere un falso modulo di accesso e richiedere all'utente di inserire la password. Oppure potrebbero indurre l'utente a scaricare un file dannoso che sembra essere servito dal sito.
- attaccando il server attraverso un account privilegiato
Quindi, anche se l'XSS può sembrare meno pericoloso di, ad esempio, le iniezioni SQL al primo sito, è in realtà una grave minaccia sia per gli utenti che per il server.