root@hacklab:~$
[]
ONLINE

Reflected XSS

Como Explorar

O Reflected XSS ocorre quando dados fornecidos pelo usuário são imediatamente refletidos na resposta da aplicação sem validação ou sanitização. O atacante envia um link malicioso e o script é executado assim que a vítima acessa.

terminal
Exemplo:

https://site.com/search?q=<script>alert('XSS')</script>
  • Insira scripts em parâmetros de URL e veja se são executados.
  • Geralmente explorado via links enviados para a vítima.

Por que acontece

A aplicação reflete dados do usuário sem sanitização, permitindo execução de scripts arbitrários.

  • Falta de escape/sanitização de dados.
  • Renderização direta de entradas do usuário.

Como Corrigir

  • Sanitize e escape todas as entradas do usuário.
  • Use frameworks que previnem XSS por padrão.