(A3) Injection - Cross Site Scripting - Webgoat

1. What is XSS?

• Mở đường link hiện tại trong một tab thứ 2. Nhập alert(document.cookie); vào Tab Console trên trình duyệt và nhấn Enter:

• Quay trở lại trang trước tick vào "The cookies are the same on each tab" và nhấn Submit:

2. Try It! Reflected XSS

• Nhập đoạn code sau vào ô Enter your credit card number và nhấn Purchase:

<script>alert("XSS Test")</script>

3. Identify potential for DOM-Based XSS

• Tìm đến file GoatRouter.js trong Tab Sources. Nhập start.mvc#test/ và Submit:

4. Try It! DOM-Based XSS

• Đi đến trang: http://127.0.0.1:8080/WebGoat/start.mvc#test/WhateverYouType.

• Đinh đến trang: http://127.0.0.1:8080/WebGoat/start.mvc#test/%3Cscript%3Ewebgoat.customjs.phoneHome%28%29%3C%2Fscript%3E

• Ta sẽ thấy được một con số là: -1588312798

• Dán số đó vào và Submit: