High
XSS (DOM) level High on DVWA
Di bawah ini adalah source-code dari XSS (DOM) level high di DVWA.
Mencari Informasi
Pada level ini, developer sekarang menentukan whitelist untuk nilai dari parameter default.
Setelah mencoba berbagai cara, akhirnya saya mencoba untuk membuat parameter baru (di sini diberi nama test), dan hasilnya seperti berikut:
Terlihat bahwa parameter baru tersebut akan ter-print ke halaman web tersebut. Ini bisa kita manfaatkan untuk melakukan injection.
Melakukan Serangan
Hasil dari pengamatan di atas adalah kita bisa menyisipkan script seperti berikut:
Jika dijalankan akan tampil hasil injection seperti berikut:
Seperti biasa, kita juga bisa mengambil cookie-nya.
Selain menggunakan payload seperti di atas, saya juga menemukan cara baru dengan menggunakan payload berikut:
Alhamdulillah! Kita telah menyelesaikan semua level dari XSS (DOM) di DVWA.😁
Happy Hacking! 🍻
Last updated