Medium
XSS (Stored) level Medium on DVWA
Di bawah ini adalah source-code dari XSS (Stored) level medium di DVWA.
Mencari Informasi
Setelah saya coba-coba dan melihat source code pada form Name, tag <script>
tidak diizinkan. Sedangkan pada form Message awalan tag (yang mengandung <
) juga tidak diizinkan.
Sepertinya celah XSS terdapat pada form Name, karena kita bisa saja memanggil JavaScript tanpa menggunakan tag <script>
. Tetapi maksimal inputan pada form Name ini hanya 10 karakter. Untuk mengatasi hal tersebut kita bisa merubah nilai maxlength
nya dengan menggunakan inspect element.
Sekarang kita bisa menyisipkan XSS pada form Name.
Melakukan Serangan
Pertama-tama, kita buat terlebih dahulu agar form Name-nya bisa diinputkan oleh banyak karakter.
Kedua, kita inputkan payload yang tidak menggunakan tag <script>
, seperti berikut:
Dan yup! Kita berhasil menyelesaikan Stored XSS pada level medium ini.
Tetap Semangat! Happy Hacking! 🍻
Last updated