Apakabar sahabat No Light ? Di tutorial ini akan saya bahas tentang kasus XSS yang pernah saya temui. Jadi setiap tag HTML yang saya masukan selalu di hapus. Tetapi pada kasus ini nilai dari parameter ter-reflected ke tag input. Di tutorial ini saya tidak mencontohkan pada website.
Untuk website yang mempunyai filter seperti ini sangat jarang sekali. Semisal url websitenya seperti ini :
URL : website-ru.sak/search?q=zerobyte
Jika kita melihat pada kode html nya nilai dari parameter "q" ter reflected pada tag input
<input type="text" name="p" value="zerobyte">
Kalau kita memasukan payload seperti pada tutorial berikutnya Mencuri Cookie dengan XSS. Maka tag HTML apapun akan di hapus atau tidak ditampilkan. Karena petik ganda tidak di filter, kita dapat memakai payload seperti dibawah ini :
Payload: " autofocus onfocus="javascript:alert(1)
Sehingga jika payload dimasukan ke kode HTML akan menjadi seperti ini :
<input type="text" name="p" value="" autofocus onfocus="javascript:alert(1)">
Atribut autofocus pada tag input akan membuat inputan tersebut focus ( seperti saat user klik/akan mengisi inputan tersebut ), karena atribut tersebut focus kita dapat memberikan kode javascript yang di handle oleh event onfocus, dimana ketika tag input dalam kondisi focus, kode javascript akan dijalankan.
Maaf jika tidak banyak yang bisa saya sampaikan, sampai jumpa pada tutorial berikutnya.
Untuk website yang mempunyai filter seperti ini sangat jarang sekali. Semisal url websitenya seperti ini :
URL : website-ru.sak/search?q=zerobyte
Jika kita melihat pada kode html nya nilai dari parameter "q" ter reflected pada tag input
<input type="text" name="p" value="zerobyte">
Kalau kita memasukan payload seperti pada tutorial berikutnya Mencuri Cookie dengan XSS. Maka tag HTML apapun akan di hapus atau tidak ditampilkan. Karena petik ganda tidak di filter, kita dapat memakai payload seperti dibawah ini :
Payload: " autofocus onfocus="javascript:alert(1)
Sehingga jika payload dimasukan ke kode HTML akan menjadi seperti ini :
<input type="text" name="p" value="" autofocus onfocus="javascript:alert(1)">
Atribut autofocus pada tag input akan membuat inputan tersebut focus ( seperti saat user klik/akan mengisi inputan tersebut ), karena atribut tersebut focus kita dapat memberikan kode javascript yang di handle oleh event onfocus, dimana ketika tag input dalam kondisi focus, kode javascript akan dijalankan.
Maaf jika tidak banyak yang bisa saya sampaikan, sampai jumpa pada tutorial berikutnya.
0 komentar:
Post a Comment