Low
XSS (Reflected) level Low on DVWA
Last updated
XSS (Reflected) level Low on DVWA
Last updated
Di bawah ini adalah source-code dari XSS (Reflected) level low di DVWA.
Pada halaman web tersebut tedapat form yang bisa kita submit. Jika kita mengisi nilai "test<'>", maka akan muncul seperti berikut:
Form tersebut menggunakan method GET
dan jika kita view source, maka akan terlihat seperti berikut:
Dari hasil di atas bisa kita simpulkan bahwa tidak ada validasi atau encoding untuk karakter <
, '
, dan >
, sehingga kita bisa dengan mudah menyisipkan script XSS.
Karena inputan ini akan langsung menghasilkan output ke halaman web (HTML), maka kita akan coba menyisipkan script dengan payload seperti berikut:
Dan script berhasil berjalan. Kenapa ini terjadi? Karena script yang kita sisipkan langsung ditampilkan oleh website tersebut. Untuk lebih memahaminya bisa kita lihat menggunakan view source.
Gimana? Mudahkan?😁
Kita juga bisa mendapatkan cookie dengan payload seperti berikut:
Happy Hacking! 🍻