# Exploiting cross-site scripting to capture passwords * Bài lab này yêu cầu chúng ta sử dụng XSS để có thể bắt được password của user khác. Lỗ hổng XSS nằm ở phần comment. Chúng ta sẽ sử dụng payload như hình dưới. Payload này sẽ tạo 2 khung input để lừa user khác nhập username và password vào, sau đó gửi đến Collaborator server của chúng ta.  * Sau khi gửi payload, hai khung input sẽ hiện dưới phần nội dung comment của chúng ta.  * Vào Collaborator để kiểm tra, chúng ta thấy có một gói tin có chứa username và password của user `administrator`.  * Dùng nó để đăng nhập vào user `administrator`. Hoàn thành bài lab.