Laboratorio: XSS reflejado en contexto HTML sin nada codificado

En este caso tengo en cuenta la url tiene el parametro de busqueda el cual es donde vamos a inyectar el payload XSS Reflejado.

En este caso, el parametro de busqueda **\?search=**contiene todo.

Pero el problema es que es modificable aqui es donde vamos a añadir el XSS Reflejado que se vea en la pagina del user.

Comando: <script>alert(”Prueba Xss JF0x0r”)</script>

En este caso vemos que el parametro search fue facilmente modificado lo que nos permitió ver en la misma pagina el Alert() que nos dió la solución del Lab.

Es reflected porque basicamente pudimos modificar la solicitud HTTP desde el parametro de la URL.

PreviousXSS Reflected NextXSS Based DOM

Last updated 5 months ago