Niveau "Low"

Le challenge se présence ici sous la forme d'un guestbook permettant de laisser un message visible par tous les utilisateurs :

Deux champs sont proposés ici. Un premier test va me permettre de mieux cerner le fonctionnement de l'application :

Les deux champs sont présents au niveau de l'affichage du message. De plus, les longueurs des champs sont respectivement limitées à 15 et 50 caractères, mais un second test m'indique que cette limitation n'est pas renforcée côté back (la console de dév ou Burp peut aider à supprimer cette limitation) :

J'effectue un essai d'injection de scripts :

Les deux champs sont vulnérables à une injection XSS. Une payload simple à base d'image va me permettre de récupérer le jeton de la victime :

Etant donné que la faille XSS est de type stockée, chaque utilisateur visitant la page va déclencher la payload (dont moi-même 🤣) :