Здравствуйте, дорогие друзья.
Продолжаем рассматривать уязвимости DVWA, и сегодня остановимся на XSS Reflected уровня Low.
Отраженный межсайтовый скриптинг (или XSS Reflected) возникает, когда приложение получает данные в HTTP-запросе и небезопасным способом включает эти данные в ответ.
Для начала выставим настройки безопасности на низкие:
Переходим на страницу «XSS (Reflected)», и видим поле для ввода имени, где при нажатии кнопки «Submit», происходит отображение введенного имени и приветствие, в виде слова «Hello»:
Пробуем ввести скрипт, на языке JavaScript, который выглядит следующим образом: «<script>alert(‘XSS_Reflected’)</script>»:
Как видим, данные, которые были введены, передаются методом GET в адресной строке URL.
Мы успешно проэксплуатировали данную уязвимость.
На этом все. Всем хорошего дня!
