XSS REFLETIDO
Olá amigos, na seção anterior, mostrei como executar o código java script na url com a vulnerabilidade xss. No entanto, para explorar totalmente essa vulnerabilidade, tivemos que fazer o usuário-alvo clicar no link, caso contrário, não poderíamos executá-lo. Graças à vulnerabilidade XSS REFLECTION, salvamos nosso código java script no banco de dados ou em qualquer lugar do site, para que não precisemos clicar em um link para a vítima. Como nosso código java script é injetado no banco de dados do site, nosso código java script será executado no navegador de quem entrar no site, então vamos hackear todos que entrarem no site. Agora vamos ver como detectar e explorar essa vulnerabilidade.
Existem fóruns como este em alguns sites, um fórum é dado na foto acima para enviar ou salvar uma mensagem, e depois de digitar nosso nome, ele nos pede para escrever uma mensagem que queremos na seção de mensagens. O que estávamos fazendo quando vimos um fórum? Estamos tentando atrapalhar esse fórum. Agora vamos tentar executar o código javascript na seção de mensagem.
Continuo com o código java script que escrevi na outra seção, você pode escrever qualquer código java script que desejar. Agora, escrevi ahmet na seção de nome e escrevi meu código javascript na seção de mensagem, se houver um déficit, meu código funcionará aqui e a tela dará um aviso chamado I hack You. Graças a este fórum, meu código ser cadastrado no banco de dados ou em qualquer lugar e esse código aparecerá na frente de todos que entrarem no site. Vamos executá-lo agora.
Como podem ver, ele me mandava o código que escrevi como um aviso, agora quem entrar no site, meu código java script vai rodar no navegador dele e esse feedback vai ser dado na tela dele.
Espero que tenha sido um tópico útil, também gravei um vídeo para você entender com mais detalhes. Bons fóruns
Link:vídeo