Untuk bypass [removed] <script> dengan teknik Polyglot XSS - Mathias Karlsson
Pada sebuah website yang saya temukan di internet terdapat sebuah celah xss pada kotak pencarian, yang jika kita tulis sebuah payload xss dengan tag html akan berjalan seperti contoh nya <maqruee>tes</marquee> maka akan menghasilkan tulisan tes yang berjalan karena terdapat perintah tag <marquee> yang kita inputkan kedalam kotak pencarian website tersebut yang terdapat celah xss. seperti pada gambar berikut.
Lalu saya mencoba menginputkan perintah atau tag payload lain yaitu payload <script> yang ternyata oleh website tersebut di hapus atau di filter sehingga menampilkan pesan [removed]. Apikasi website ini memfilter code javascript yang kita inputkan. sehingga mengeluarkan pesan [removed] atau menghapus kode payload yang kita inputkan. seperti pada gambar berikut.
Sedangkan jika kita menuliskan payload seperti onmouseover, atau onmouseout maka kode akan dilewati tidak di eksekusi oleh aplikasi web tersebut.
Nah disini saya akan menggunakan xss polyglot dari Mathias Karlsson dengan payloadnya seperti berikut.
" onclick=alert(1)//<button ‘ onclick=alert(1)//> */ alert(1)//
tampilan jika berhasil akan seperti pada gambar di bawah ini.
Pada payload tersebut, berhasil di inputkan dan mengeluarkan pop up alert 1, sebagai tanda kalo payload berhasil tereksekusi. Nah pada kondisi ini kita telah berhasil mengeksekusi kode payload pada aplikasi web tersebut. Dan berhasil membypass syntax script dan payload xss lainnya yang telah di filter oleh aplikasi web tersebut.
Sekian terima kasih artikel ini saya buat, jika ada kesalah kata dalam penulisan mohon di maafkan, saya hanya seorang manusia yang juga tidak terlepas dari kesalahan. Semoga artikel ini dapat membantu teman-teman semuanya dan menjadi bahan referensi untuk kita. Terima Kasih.
0 Komentar
Penulisan markup di komentar