Medium
XSS (Reflected) level Medium on DVWA
Di bawah ini adalah source-code dari XSS (Reflected) level medium di DVWA.
Mencari Informasi
Pada level ini terdapat validasi untuk menghilangkan tag <script>
pada inputan. Jika kita menggunakan payload sebelumnya, maka hasilnya akan seperti berikut:
Untuk mengatasi ini kita harus mencari cara untuk menjalankan JavaScript pada web tanpa menggunakan tag <script>
.
Ada salah satu cara yang menjadi favorit saya saat ini yaitu menggunakan HTML onload Event Attribute.
Melakukan Serangan
Sekarang kita akan membuat payload seperti berikut:
Yup! Berhasil.😉
Jika kita menggunakan view source, maka akan tampil seperti berikut:
Terlihat script yang kita sisipkan berhasil dijalankan.
Happy Hacking! 🍻
Last updated