Che cosa può vedere il proprietario del sito web?
Sostanzialmente tutto.
Se il vettore XSS ( <script>alert(1)</script>
nel tuo caso) fa parte di:
- HTTP headers (including cookies)
- URL (path, query string) except the anchor part
- POST data (including uploaded files)
Quindi il proprietario del sito web è in grado di vederlo.
Se il tuo vettore XSS è solo lato client, il proprietario del sito web può ancora loggarlo se Content-Security-Policy è stato configurato per registrare gli attacchi.
Come testare XSS senza essere notato?
Non farlo, a meno che non ti sia stato permesso di farlo.
Esegui il tuo server web vulnerabile
L'esecuzione del proprio server web non è difficile:
echo "<?php echo $_GET['xss'];" > index.php
php -S 0.0.0.0:80
Questo avvierà un webserver disponibile al link .
Applicazioni vulnerabili note
Inoltre, controlla alcuni progetti come dannata applicazione web dannosa , creati per aiutare le persone ad imparare alcune vulnerabilità.
Inoltre, per XSS esistono molte risorse per apprenderle: