All Reports
Medium
Stored XSS di kolom display_name
Summary
Stored XSS sederhana pada kolom display_name, dieksekusi di halaman dashboard admin.
Technical Details / PoC
Aplikasi tidak melakukan escaping pada kolom display_name.
Dengan menyimpan payload seperti:
<script>alert(1)</script>
payload akan dieksekusi ketika admin membuka halaman dashboard.
Impact: bisa digunakan untuk mencuri cookie admin atau melakukan aksi atas nama admin.
Dengan menyimpan payload seperti:
<script>alert(1)</script>
payload akan dieksekusi ketika admin membuka halaman dashboard.
Impact: bisa digunakan untuk mencuri cookie admin atau melakukan aksi atas nama admin.