Reflected XSS into HTML context with nothing encoded – PortSwigger Write Up

En este post vamos a estar resolviendo el laboratorio de PortSwigger: “Reflected XSS into HTML context with nothing encoded”.

Ignorad que ya lo tenga hecho, voy a hacerlo de nuevo xD

Para resolver el laboratorio tenemos que realizar un Cross-site Scripting que llame a la función alert.

Cuando entramos en el laboratorio, vemos un campo de búsqueda:

Vamos a probar a buscar cualquier cosa:

Si nos fijamos, el término de búsqueda se ve reflejado en la web. Por lo que, podemos probar a meter un código Javascript usando el atributo onerror en el tag <img>.

De tal forma, que si falla al cargar la imagen que especificamos en el atributo src, se nos ejecutará lo que escribimos en onerror:

Como vemos, efectivamente vemos que ha fallado al cargar la imagen, por tanto, se nos ejecuta el alert. De esta forma, conseguimos resolver el laboratorio.

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Subir para arriba