## XSS
### XSS-Reflected:
* #### Raw input, không encode gì:
Chèn thẳng thẻ script vào ô search:
Result:
* #### Attribute with angle brackets HTML-encoded:
Đầu tiên sử dụng payload như phần trên, tuy nhiên không có gì xảy ra. Ta xem source của response trả về:
Ta thấy angle bracket đã bị encode lại, từ đó payload không thực thi được. Để bypass, ta sử dụng dấu nháy kép, không bị encode khi truyền vào:
Ta sẽ end trường `name` bằng dấu nháy kép, sau đó thêm vào 1 trường mới, ở đây mình sử dụng trường `autofocus onfocus`, sau đó truyền `alert` vào - tức là sẽ popup alert khi ấn vào ô nhập text. Khi truyền payload ta sẽ có attribute input như này:
Result:
* #### JavaScript string with angle brackets HTML encoded:
Thử với 1 text bất kì, sau đó view source của response, ta thấy thẻ javascript sau sử dụng biến `searchterm` để thực thi:
Khi truyền thử payload cơ bản của bài đầu, ta thấy nó đã bị encode lại:
Mình sẽ dùng payload sau: `hehe';alert("Hacked");'`
+ `'` để end biến searchterm.
+ `;` để break, nhảy sang line mới.
+ `alert("Hacked");`, dòng mới này gọi alert lên.
+ Và cuối cùng `'` để nối với dấu nháy bị dư thành 1 line rỗng.
Result:
* #### HTML context with most tags and attributes blocked:
Thử với payload cơ bản của thẻ script, ta thấy nó bị block:
Đề cũng nói rằng kha khá tag và thuộc tính bị block, vì vậy ta sẽ bruteforce xem cái nào không bị block. Mình sẽ set position tại search, dùng tag wordlist trên [cheatsheet]([https://portswigger.net/web-security/cross-site-scripting/cheat-sheet). Sau đó kiểm tra xem tag nào trả về 200:
Ta có tag `Body` không bị block. Mình tiếp tục set pattern như sau để brute được event không bị block bằng cùng event wordlist từ cheatsheet bên trên:
Ta có được tương đối nhiều event hợp lệ:
Ở đây mình sẽ dùng event `onbeforeinput`, truyền alert vào làm func của onbeforeinput -> exploit thành công. Result:
### XSS-Stored:
* #### Raw input, không encode gì:
Vào comment 1 blog bất kì, post script vào comment, lúc này ta thấy script lưu trữ trong body của page:
Result:
* #### anchor href attribute with double quotes HTML-encoded:
Để ý khi post comment bất kì, trường `website` sẽ được lưu lại tại href với dấu nháy kép bị encode:
Vậy, ta sẽ thử link href với payload, và sử dụng nháy đơn để bypass:
Result khi gọi tới người dùng đó:
### XSS-DOM:
* #### document.write sink using source location.search:
View Source của page response về khi search, `document.write` concate chuỗi để write ra:
Lợi dụng concate, ta sẽ đóng thẻ img lại và chèn payload:
Result:
* #### innerHTML sink using source location.search:
Biến query lấy giá trị tham số search từ URL qua hàm URLSearchParams(). Nếu query khác rỗng thì gọi innerHTML để đổi trường searchMessage thành query.
Vì chỉ khi true mới thực hiện như kia, nên ta sẽ tận dụng hàm onerror, lợi dụng hướng kích hoạt false để hàm này thực hiện được, từ đó sẽ trigger alert gọi tiếp bên trong. Payload: `<img src=1 onerror=alert("Hacked")>`
Result:
Sign in with Wallet
Connect another wallet