XSS stocké (contexte HTML sans encodage)

Stored XSS into HTML context with nothing encoded

Lab: Stored XSS into HTML context with nothing encoded | Web Security AcademyWebSecAcademy

Il s'agit d'une vulnérabilité de type cross-site scripting stocké dans la fonctionnalité des commentaires d'un blog. Les données saisies dans le formulaire de commentaire sont insérées dans le HTML sans être encodées.

Objectif du laboratoire

Soumettre un commentaire qui exécute alert() lorsque la page du billet est affichée (résoudre le lab en provoquant l'alerte côté visiteur).

<script>alert("comments")</script>
<script>alert("name")</script>
<script>alert("email")</script>
<script>alert("website")</script>

Le formulaire de commentaire est vulnérable (les champs envoyés sont insérés dans le HTML sans encodage).

Mis à jour il y a 2 mois

Ce contenu vous a-t-il été utile ?