¿Cómo pude encontrar el XSS reflejado?

Apr 30 2023
Alcance: En primer lugar, el alcance era pequeño Solo una página de inicio de sesión 1: lo primero que me vino a la mente Directorio Fuerza bruta: desafortunadamente, no obtuve nada 2: lo intenté, SQLI, enumeración de usuarios, fuerza bruta protección, credenciales predeterminadas, etc. - Pero también, desafortunadamente, no obtuve nada Como de costumbre, dije Tal vez que no hay vulnerabilidad aquí déjame continuar Pero dije déjame verificar los parámetros Así que comencé con la enumeración de parámetros Así que encontré una Llamada de parámetro [ ?Locale ], ¿Qué es XSS? https://portswigger.

Alcance:

En primer lugar, el alcance era pequeño Solo una página de inicio de sesión

1 — Entonces Lo primero que me vino a la mente Directorio Fuerza Bruta

- Desafortunadamente, no obtuve nada.

2- Lo intenté, SQLI, enumeración de usuarios, protección de fuerza bruta, credenciales predeterminadas, etc.
- Pero también, lamentablemente, no obtuve nada.

Como de costumbre, dije Tal vez que no hay vulnerabilidad aquí, déjame seguir adelante.

Pero dije déjame verificar los parámetros Así que empiezo con la enumeración de parámetros

Así que encontré una llamada de parámetro [ ?Locale ] ,

¿Qué es XSS?https://portswigger.net/web-security/cross-site-scripting

Entonces comencé a probar XSS y luego puse una carga útil normal [“>Prueba] para ver si se refleja en el código fuente, pero desafortunadamente me enfrenté a esto cuando intenté abrir el código fuente.

Okayyy

Después de los intentos, encontré cuando puse [</script> en el parámetro Hay un código reflejado en la página Me gusta esto>

Luego dije seguro que hay una interacción con el código, déjame poner un payload [ </script> <script>alert(“omar”)</script> ]

¡¡Finalmente lo logré!!

Pero dije 100 por ciento que tomaré un duplicado):

Me sorprendí cuando el informe fue respondido. ¡No es duplicado!

comida para llevar:

1- No te rindas

2- toma un freno y vuelve con ideas más fuertes

3- ¡Incluso si el alcance es pequeño, intente probar!

Bienvenido a Twitter :https://twitter.com/Omarzzu

Gracias por leer