HIGH
Cross-Site Scripting (XSS) Lab
Inyecta payloads XSS reales y observa su ejecución en el navegador. Los scripts se ejecutan directamente en un contexto vulnerable.
Principiante
Modo Reto activo — explora libremente. Activa el Modo Tutorial si necesitas orientación.
El payload se inyecta directamente en HTML sin sanitización. El resultado se muestra en un iframe real.
Payloads de ejemplo — haz clic para cargar y ejecutar
Básico
Event Handlers
Filter Bypass
DOM / Advanced
¿Por qué funciona?
El endpoint /api/lab/xss refleja el input del usuario directamente en el HTML de respuesta sin ningún tipo de sanitización, encoding ni CSP. El navegador interpreta el HTML y ejecuta cualquier JavaScript inyectado.
Esta aplicación es vulnerable por diseño - Solo para propósitos educativos
© 2025 Aitana Security Lab