Apakabar sahabat No Light ? Di tutorial ini akan saya bahas tentang kasus XSS yang pernah saya temui. Jadi website yang saya test kerentanannya ini memiliki celah XSS yang mana parameter URL ter-reflected pada kode Javascript. Untuk tutorial ini saya akan mencoba pada website local.
Jika kita lihat pada tampilan websitenya tidak ada reflected apapun. Tetapi bila kita lihat melalui inspect element kita dapat melihat bahwa nilai dari parameter ter-reflected kedalamnya.
Karena ter-reflected kedalam sebuah string kita dapat mengexploitasinya dengan mudah. Ada 2 cara yang dapat dilakukan yang pastinya jika kondisinya berbeda.
1) Jika TAG html tidak terfilter termasuk tag script, kita dapat menggunakan payload
Payload: </script><script>alert(1)</script>
Ganti alert(1) dengan kode javascript kalian. Jika menggunakan payload diatas kita website akan menampikan dialog alert.
2) Jika TAG html difilter kita dapat menggunakan payload seperti ini, alert() akan memunculkan sebuah dialog dengan tulisan tertentu.
Payload: "-alert(1)-"
atau jika kalian ingin target langsung mengunjungi website tertentu, gunakan kode javascript location replace
Payload: "-window.location.replace("https://google.com")-"
Oke, itu saja untuk tutorial kali ini dan maaf jika tidak banyak yang bisa saya terangkan pada tutorial ini semoga bermanfaat dan sampai jumpa pada tutorial berikutnya.
Jika kita lihat pada tampilan websitenya tidak ada reflected apapun. Tetapi bila kita lihat melalui inspect element kita dapat melihat bahwa nilai dari parameter ter-reflected kedalamnya.
Karena ter-reflected kedalam sebuah string kita dapat mengexploitasinya dengan mudah. Ada 2 cara yang dapat dilakukan yang pastinya jika kondisinya berbeda.
1) Jika TAG html tidak terfilter termasuk tag script, kita dapat menggunakan payload
Payload: </script><script>alert(1)</script>
Ganti alert(1) dengan kode javascript kalian. Jika menggunakan payload diatas kita website akan menampikan dialog alert.
2) Jika TAG html difilter kita dapat menggunakan payload seperti ini, alert() akan memunculkan sebuah dialog dengan tulisan tertentu.
Payload: "-alert(1)-"
atau jika kalian ingin target langsung mengunjungi website tertentu, gunakan kode javascript location replace
Payload: "-window.location.replace("https://google.com")-"
Oke, itu saja untuk tutorial kali ini dan maaf jika tidak banyak yang bisa saya terangkan pada tutorial ini semoga bermanfaat dan sampai jumpa pada tutorial berikutnya.
0 komentar:
Post a Comment