Haik lanjut postingan sebelumnya kalini kita akan mencoba XSS reflected pada security High
pertama kita coba dulu dengan kode <sCriPt>alert("Xss")</scRipt>, kode itu adalah kode yg saya pakai di security Medium
Hmm tidak mau tereksekusi,kita coba view-source nya dulu
Humm si web ternyata sudah memvalidasi <script> huruf kecil maupun besar jadi kita tidak bisa lagi memakai kode sebelumnya.
oh iya kita coba pake tag yg pernah saya gunakan di postingan sebelumnya yaitu <marquee>ini xss</marquee>
Wow ternyata mau, Kenapa?padahal ini security high.Karena si web hanya memvalidasi kode <script>
coba kode lain yang sering digunakan oleh hacker selain <script>,yaitu <img src=x>
<img src=x> adalah salah satu kode html yang fungsinya menampilkan gambar.
Dan mau,kenapa gaada gambar?karena saya memberikan source yang tidak jelas jadi <img src=linkgambar> jika nilainya dikasi link gambar maka akan muncul gambar dari link yang kalian masukkan.
Okee kalo gitu saya akan menambahkan seni yg lebih bagus di kode<img src=x> digabung <script> kita bisa mengunakan elemen onError jadi misal gambarnya error kita bisa menambahkan aksi setelah <img src=x> karena saya memberi source yang asal"an pada <img src=x> jadi otomatis tag itu akan error dan saya memasukkan element yaitu aksi kedua, seperti ini <img src=x onError=alert("Xss")>
Dan mauu,kita juga bisa menggunakan kode lain dengan memanfaatkan element seperti <body onload=alert("Xss")>
itu juga akan tereksekusi.
Next post saya akan lanjut ke Xss Stored.
~Terima kasih
 dengan dvwa Security High){kind=link}
0 Komentar