loading...
Bug XSS (HACKERONE.COM)

Bug XSS (HACKERONE.COM)

Hackerone TerXSS?



What? Payload Apa Yang Saya Gunakan? Dan Dimana Letak Bug Yang Saya Temukan?

Baik Kita Bahas 😁😎☕.

Pertama Tama Saya Mencari celah pada bagian pencarian / form search, saya lakukan terus menerus mendalam xss ke form tersebut. Namun takdir berkata lain eaa :'b

Yaudah saya gak mau buang" waktu saya next ke input lainya. Setelah saya lakukan pembongkaran kode. Anjay bahasanya ngery kek heker :V

Maksudnya melihat kode sumber web

view-source:https://hackerone.com

Nahh disinilah saya menemukan suatu inputan yang menarik selain form search 🤭😌.

Yaudah saya coba xss pada form tersebut. Namun sudah banyak payload saya coba dan ketika saya perhatikan dia juga ternyata berbeda dengan xss lainya.

Oke" tetep kalem, disini saya gak bodoh. Saya terus memaksa payload yang saya masukan harus tereksekusi. Dan benar saja payload pun masih belom terexsekusi 😭😭😭.

Dimana kesalahanya anyinggggg...

Okeelah saya perhatikan kembali kode yang gua masukan, ternyata payload yang gua masukan tersebut berubah menjadi html encode, hmmm ada yang aneh pada di sini.

Okee" saya mulai mencoba kembali dan tetep saja hasil nihil, dan tiba" di pikiran saya muncul pikiran yang dimana saya harus melihat dan memperhatikan atau mengencode payload.

Okee disini saya pun menggunakan hackbar untuk mengencode payload xss menjadi html encoded.

Payload asli :
"></a"><img src=xxx onerror=prompt(document.domain)>

Payload encoded :
%22%3e%3c%2f%61%22%3e%3c%69%6d%67%20%73%72%63%3d%78%78%78%20%6f%6e%65%72%72%6f%72%3d%70%72%6f%6d%70%74%28%64%6f%63%75%6d%65%6e%74%2e%64%6f%6d%61%69%6e%29%3e

Nahhh Ketika Saya gabungkan antara crlf injection & xss pun terjadiiii booommmm

😎☕.

Awalnya sih cukup aneh, kenapa text biasa dijadikan html encoded ketika di post oleh web, yaa saya juga gak tau sih apa maksud pemilik web, mungkin alasan keamanan.
Tapi disini saya masih bisa akali pake tehnik CRLF Injection ;)

Okee Kayanya Hanya Sampai Sini Materi Hari Ini, Sekian Dan Terimakasih :)

Berlangganan update artikel terbaru via email:

0 Response to "Bug XSS (HACKERONE.COM)"

Post a Comment

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel