OWASP WebGoat:Stored XSS Attacks
Jump to navigation
Jump to search
Stored XSS Attacks
Cet exercice aborde la problématique déjà survolée lors de précédents exercices du XSS stocké. Ces attaques sont également dites "persistantes", par opposition aux attaque dites "non persistantes" ou "reflected XSS" (voir ici).
Dans l'exemple qui est proposé, il est proposé d'enregistrer des messages dont chacun porte un titre et un corps de message. Ces messages sont ensuite listés sous le formulaire, et il est possible de les lire en cliquant sur leur titre. Pour résoudre cet exercice, il suffit d'enregistrer un message (clickme) avec un corps qui contient un script.
Ainsi, lorsque l'on clique sur le titre, le script du message est interprété par le navigateur :