Tässä moduulissa harjoitellaan XSS-haavoittuvuuksien tunnistamista ja hyväksikäyttöä. Lue tehtävänanto ja käytä aiemmissa moduuleissa opittuja taitoja ratkoaksesi tehtävän.

Tässä tehtävässä käytämme hyväksi XSS-haavoittuvuutta sovelluksessa, joka ei käytä heittomerkkejä määrittäessään HTML-attribuutteja.

XSS UNQUOTED 1

Alla olevalla haulla voit suorittaa JavaScript-koodia. 

Selvitä, mistä XSS-haavoittuvuus johtuu, rakenna lopullinen haittakoodi ja käytä tätä vaaditulla tavalla.

*Tässä moduulissa harjoitellaan XSS-haavoittuvuuksien tunnistamista ja hyväksikäyttöä. Lue tehtävänanto ja käytä aiemmissa moduuleissa opittuja taitoja ratkoaksesi tehtävän.*

@exercise 5adc0b50cfeb

Alla olevalla haulla voit suorittaa JavaScript-koodia. 

```javascript
haku onfocus=alert(1) autofocus
```

Selvitä, mistä XSS-haavoittuvuus johtuu, rakenna lopullinen haittakoodi ja käytä tätä vaaditulla tavalla.


XSS HTML-attribuuteissa

Opi löytämään ja hyväksikäyttämään haavoittuvuutta joka on yksi kaikista yleisimmistä haavoittuvuuksista, helpohko löytää, ja siitä huolimatta hyvin vaarallinen. Hackerone rankkasi XSS:n #1 bug bounty -haavoittuvuudeksi 2021.

XSS (Cross-Site Scripting) haavoittuvuudet ovat sekä yleisiä että vakavia. Esimerkiksi HackerOne on listannut XSS:n ensimmäiseksi top 10 haavoittuvuudet listallaan.

Haavoittuvuuden läpikohtainen hallitseminen on siis erittäin tärkeää, olit sitten murtotestaaja, tietoturvakonsultti, kehittäjä tai bounty hunteri!

Perusteet haltuun

Mitä ovat Cross-Site Scripting -haavoittuvuudet?

Intro

Stored XSS ja istuntoevästeiden varastaminen

XSS HTML-attribuuteissa

Hakkeroinnin oppiminen alkaa tästä