REFLECTED XSS INTO HTML CONTEXT WITH NOTHING ENCODED

Hallo semuanya saya di sini ingin menyelesaikan tantangan PORTSWIGGER yang berjudul "REFLECTED XSS INTO HTML CONTEXT WITH NOTHING ENCODED"

XSS (Cross-Site Scripting) adalah kerentanan keamanan yang memungkinkan penyerang menyuntikkan skrip jahat ke halaman web, yang kemudian dieksekusi di browser pengguna lain. Ini bisa digunakan untuk mencuri data sensitif seperti cookie atau sesi pengguna. Untuk mencegah XSS, penting untuk memvalidasi dan membersihkan input pengguna serta menggunakan Content Security Policy (CSP).

oke sekarang mari kita pecahkan tantangan tersebut, pertama kita akses to lab:

yang kita lihat bahwa kita di beri website yang aman untuk kita latihan ujian testing,pertama-tama saya akan mengecek semuanya yang terdapat pada website ini, dan saya lupa membaca tantangan ini bahwa kerentanan berada pada bagian search karena saya membaca text nya:

dan setelah itu saya tau bahwa kerentanan yang ada berada pada bagian search di web tersebut lalu saya mecoba memasukan payload payload simple menggunakan <script></script> karena itu adalah basic payload xss, langsung saja kita eksekusi  😁:

dan payload tersebut berhasil untuk menyuntikan payload xss kedalam web dan bisa di lihat di situ terlihat angka 1 di karenakan yang saya masukan adalah <script>alert(1)</script> dan setelah kita klik "OK" akan balik ke halaman yang awal:

dan yappppp, lab ini berhasil saya pecahkan tantangan nya pada kesimpulan nya gini :

 Lab "Reflected XSS into HTML context with nothing encoded" di PortSwigger menunjukkan kerentanan pada bagian pencarian (search). Kerentanan ini terjadi karena input pengguna tidak divalidasi atau dienkode dengan benar, memungkinkan penyerang menyuntikkan skrip jahat melalui parameter pencarian. Dan cukup sekian penjelasan saya tunggu di write up selanjutnya

Terimakasih

-Khalid 

Subscribe to receive free email updates: