Sto utilizzando DVWA e riscontrando problemi nell'eseguire una vulnerabilità XSS semplice e riflessa. L'inserimento del testo suggerito non produce un popup in Firefox o Chrome. Ci sono delle impostazioni che devo regolare per eseguire l'attacco XSS riflesso? C'è qualcos'altro che mi manca?
Se si tratta di una vulnerabilità XSS riflessa, molti browser Web moderni dispongono di funzionalità che ne impediscono l'esecuzione. Credo che se guardi nella tua console verrà visualizzato un messaggio se rileva un input dannoso e impedito l'esecuzione.
Dai un'occhiata a questa domanda per maggiori informazioni.
I credo sia possibile disabilitare questa funzione se avvii chrome dalla riga di comando e passi il flag --disable-xss-auditor .
Sembra che il testo inserito sia sottoposto a rendering in HTML (supponendo che ciò che è visualizzato in rosso sia il tuo vero input).
Assicurati che la Modalità di sicurezza sia stata impostata su Bassa o Media. L'alto livello dovrebbe essere sicuro, quindi non puoi sfruttarlo in questa modalità a meno che non trovi un nuovo vettore di attacco che tutti gli altri hanno mancato.
Leggi altre domande sui tag web-application xss