Estoy usando DVWA y tengo problemas para ejecutar una vulnerabilidad XSS simple y reflejada. La introducción del texto sugerido no produce una ventana emergente en Firefox o Chrome. ¿Hay alguna configuración que deba ajustar para ejecutar el ataque XSS reflejado? ¿Hay algo más que me esté perdiendo?
Si se trata de una vulnerabilidad XSS reflejada, muchos navegadores web modernos tienen características que evitan que se ejecute. Creo que si miras en tu consola, mostrará un mensaje si detectó una entrada maliciosa e impidió que se ejecutara.
Eche un vistazo a esta pregunta para más información.
I creo que es posible deshabilitar esta función si inicia Chrome desde la línea de comando y pasa el indicador --disable-xss-auditor .
El texto ingresado parece estar siendo representado en HTML (asumiendo que lo que se muestra en rojo es su entrada real exacta).
Asegúrese de que el Modo de seguridad se haya establecido en Bajo o Medio. Se supone que el nivel alto es seguro, por lo que realmente no puedes explotarlo en este modo a menos que encuentres un nuevo vector de ataque que todos los demás hayan pasado por alto.
Lea otras preguntas en las etiquetas web-application xss