Web Security Academy

Cross-site scripting - Lab : Stored XSS into HTML context with nothing encoded

Lien du lab : https://portswigger.net/web-security/cross-site-scripting/stored/lab-html-context-nothing-encoded

Objectif :

Invoquer la fonction alert() ( en Javascript ) en injectant du script dans le site web.

Solution :

En lançant le lab, on arrive sur un blog avec plusieurs posts publiés.

On accède à un post quelconque et tout en bas de la page, un système de commentaire est disponible. On peut poster le notre :

On pense directement à une XSS stockée.

On va donc poster un commentaire en injectant du code Javascript dans le champ "Comment" ( certains des autres champs sont filtrés ) comme l'image suivante le montre :

On poste notre commentaire et ensuite en rechargeant la page, une fenêtre pop-up apparaît :

Le script a été exécuté !

À partir de maintenant, chaque utilisateur qui va accéder à l'espace commentaire de ce post vera une fenêtre pop-up surgir.

le lab est à présent validé.