root@hacklab:~$
[]
ONLINE

Stored XSS

Como Explorar

O Stored XSS ocorre quando dados maliciosos são armazenados pela aplicação (ex: comentários, perfis) e exibidos para outros usuários sem sanitização. O script é executado toda vez que alguém acessa o conteúdo.

terminal
Exemplo:

Comentário salvo: <script>alert('XSS')</script>
  • Insira scripts em campos persistentes (comentários, perfis).
  • Verifique se o script é executado ao exibir o conteúdo.

Por que acontece

A aplicação armazena e exibe dados do usuário sem sanitização, permitindo execução de scripts para todos que acessam.

  • Falta de escape/sanitização de dados persistidos.
  • Renderização direta de entradas do usuário.

Como Corrigir

  • Sanitize e escape todas as entradas do usuário.
  • Use frameworks que previnem XSS por padrão.