La empresa española Extrema Sistemas liberó el pasado mes de julio la versión RC1 de su framework web Loom. Ese anuncio provocó un gran tráfico en sus servidores de gente que quería probarlo, y parte de los interesados en el framework hicieron varias pruebas de XSS sobre él. Y
si bien Loom en sí salió victorioso de todo los ataques, no se puede decir lo mismo de servidor de aplicaciones en el cual corría. En ocasiones el servidor mostraba datos que habían sido proporcionados por los usuarios, sin chequearlos contra posibles ataques XSS, en páginas propias.

Para resolver este problema, Extrema Sistemas ha desarrollado parches para resolver ataques XSS en Tomcat, Jetty y Glassfish. En el blog de Ignacio Coloma apuntan que éstos parches pueden provocar una sobrecarga de rendimiento innecesaria en ciertas ocasiones. Pero, como Ignacio comenta, lo realmente importante aquí es que, por defecto, estos servidores pueden hacer que nuestras aplicaciones web sean vulnerables ante ataques XSS, incluso cuando la aplicación en sí misma no contenga vulnerabilidades. Una observación muy interesante y que, desde luego, debería ser resuelta por los servidores de aplicaciones.