Detecta la vulnerabilidad XSS

En este laboratorio, analizarás un sitio web básico de una tienda de licencias de software. Un atacante ha dejado una vulnerabilidad activa que permite ejecutar código JavaScript en el navegador. Tu misión como analista es encontrar el archivo vulnerable, identificar el fallo y validar tu hallazgo.

En este laboratorio aprenderás:

• Detección de vulnerabilidades XSS reflejadas
• Inspección de formularios y parámetros GET
• Razonamiento lógico como analista de ciberseguridad

🌱 Cómo comenzar este laboratorio

👉 Este reto utiliza la misma máquina virtual del laboratorio anterior: Pwned! - Encuentra la puerta trasera. Si ya la descargaste, no es necesario que vuelvas a hacerlo.

1. Si aún no la tienes, descarga la máquina virtual desde este enlace:

1  https://storage.googleapis.com/cybersecurity-machines/web-threats-lab.ova

1. Importa la máquina virtual en VirtualBox o VMware.
2. Inicia la VM, accede como el usuario student:4geeks-lab e ingresa al sitio web en tu navegador en:

1  http://<ip_machine>/softwarelicenser/

📄 Instrucciones

SoftwareLicenser es una tienda online que vende licencias digitales. Sin saberlo, un desarrollador dejó una vulnerabilidad activa en uno de los formularios del sitio. Tu tarea es encontrar la ruta absoluta del archivo vulnerable, identificar el punto exacto del fallo y validarlo.

Tu misión: encontrar el archivo vulnerable a XSS

1. Investiga el sitio web como si fueras un auditor externo o analista del Blue Team.
2. Localiza cualquier funcionalidad que acepte entradas del usuario y produzca una salida dinámica.
3. Determina si el sitio es vulnerable a Cross-Site Scripting (XSS).
4. Si encuentras la vulnerabilidad, identifica el archivo responsable en el servidor.
5. Ejecuta el validador y proporciona la ruta absoluta del archivo vulnerable.

1validate-xss

Si aciertas, se revelará la flag del reto:

1✅ ¡Ruta correcta!
2🎁 Flag: FLAG{EXAMPLE_FLAG}

¡Buena suerte, Analista!