Low
XSS (Stored) level Low on DVWA
Di bawah ini adalah source-code dari XSS (Stored) level low di DVWA.
Mencari Informasi
Terdapat form yang ketika saya coba menginputkan "test<'>" , maka hasilnya akan tersimpan di halaman tersebut.
Dari informasi yang bisa kita dapatkan dari view source, kita bisa mengetahui bahwa tidak ada validasi untuk HTML spesial karakter di sini, sehingga kita bisa dengan mudah melakukan serangan XSS.
Melakukan Serangan
Kita coba dengan payload yang pertama, yaitu:
Dan berhasil!😊
Jika dilihat menggunakan view source, maka akan terlihat seperti berikut:
Seperti biasa kita juga bisa mengambil cookie dengan payload berikut:
Yup! Jika halaman ini di-refresh, maka payload tersebut akan dijalankan lagi karena sekarang payload tersimpan (stored) pada halaman web tersebut.
Happy Hacking! 🍻
Last updated