Nuevos labs cada semana — Accede a todos desde 5€/mes

Únete a la comunidad y participa en directo · grabamos las clases y las publicamos aquí

Cómo convertir un XSS en un reporte que SÍ se paga

Name: Cómo convertir un XSS en un reporte que SÍ se paga
Uploaded: 2026-04-28T10:26:35.895Z
Duration: 1 h 30 s
Channel: Gorka El Bochi
Description: Masterclass en directo donde aprendimos a rentabilizar vulnerabilidades XSS incluso en programas que no las aceptan o las pagan como P4 simbólico. El enfoque: dejar de robar cookies y empezar a ejecutar acciones críticas en nombre de la víctima.

Masterclass en directo donde aprendimos a rentabilizar vulnerabilidades XSS incluso en programas que no las aceptan o las pagan como P4 simbólico. El enfoque: dejar de robar cookies y empezar a ejecutar acciones críticas en nombre de la víctima.

26 de abril de 2026 1h 0min 24 visualizaciones

bug bountyxss

El pasado evento reunió a más de 60 personas en una sesión práctica centrada en uno de los problemas más frustrantes para los bug hunters: ¿qué hacer cuando encuentras un XSS y el programa no lo acepta como vulnerabilidad o lo paga como un simple P4 simbólico? La respuesta corta es que el problema no suele estar en el hallazgo, sino en cómo se reporta y en el impacto que se demuestra. Por eso, en lugar del enfoque clásico de robo de cookies (cada vez menos viable gracias a HttpOnly y SameSite), trabajamos un planteamiento distinto: convertir el XSS en una herramienta para ejecutar acciones reales en nombre del usuario víctima.