[BUG BOUNTY] XSS File Upload Vulnerability

By -
Pada pembahasan sebelumnya kita telah mempelajari tentang pengertian XSS (Cross Site Scripting). Untuk kalian yang belum membacanya kalian bisa klik disini Mengenal XSS [Cross Site Scripting] | Tegal1337
Untuk kali ini saya akan membahas mengenai lebih lanjut tentang XSS ini, pada dasarnya File Upload adalah sebuah peluang emas bagi para attacker untuk melakukan uji penetrasi pada suatu aplikasi, dengan memanfaatkan fitur File Upload ini, attacker akan mencoba meng-upload sebuah backdoor, malware ataupun Payload XSS itu sendiri.
Contoh script sederhana :

<!DOCTYPE html>
<html>
<body>

Pilih File :
<input type="file" id="myFile" size="50">

<button type="button" onclick="myFunction()">Upload</button>

<p id="demo"></p>

<script>
function myFunction() {
  var x = document.getElementById("myFile").value;
  document.getElementById("demo").innerHTML = x;
}
</script>

</body>
</html>
Untung contoh live nya kalian bisa kunjungi lab : https://dalpan.co/lab/xss/xss-file-upload.php
Membuat sebuah payload berbentuk file, disini saya menggunakan system operasi Xubuntu, karena kalau menggunakan system operasi yang lain tidak mengizinkan membuat sebuah file name dengan karakter-karakter tertentu.

Kemudian kita coba upload payload tersebut, dan hasilnya seperti ini :

Screenshoot
Jika aplikasi memungkinkan mengupload file yang berekstensi SVG (yang juga merupakan tipe gambar), file dengan konten berikut dapat digunakan untuk mentriger XSS:

<svg xmlns="http://www.w3.org/2000/svg" onload="alert(document.domain)"/>

PoC (Proof of Concept) bisa kalian lihat disini :
https://dalpan.co/lab/xss/tegal1337.svg

Membuat payload GIF untuk mem-bypass CSP (Content Security Policy)

GIF89a/*<svg/onload=alert(1)>*/=alert(document.domain)//;

Mungkin sampai sini penjelasanya, dari berbagai cara diatas, saya sudah mendapat sedikit bounty dari beberapa web yang saya uji.

HoF :
  • https://www.sejda.com/security-responsible-disclosure
  • https://sec.kodokoalamedia.co.id/
  • https://jumpshare.com/security

Terima kasih.

Comments

Post a Comment

Popular posts from this blog

Legion Tutorial - Information Gathering (Kali Linux)

By -
Image
Halo teman teman, kali ini saya akan membagikan tutorial tentang legion  Apa itu legion? Legion, sebuah cabang dari SECFORCE's Sparta, adalah kerangka kerja pengujian penetrasi jaringan open source, mudah digunakan, super-extensible dan semi-otomatis yang membantu dalam penemuan, pengintaian dan eksploitasi sistem informasi. Fitur : Pengintaian dan pemindaian otomatis dengan NMAP, whataweb, nikto, Vulners, Hydra, SMBenum, dirbuster, sslyzer, webslayer, dan lainnya (dengan hampir 100 skrip terjadwal otomatis) Antarmuka grafis yang mudah digunakan dengan menu dan panel konteks yang kaya yang memungkinkan pentester dengan cepat menemukan dan mengeksploitasi vektor serangan pada host Fungsionalitas modular memungkinkan pengguna untuk dengan mudah menyesuaikan Legiun dan secara otomatis memanggil skrip / alat mereka sendiri Pemindaian panggung yang sangat dapat disesuaikan untuk penghindaran IPS seperti ninja Deteksi otomatis CPE (Penghitungan Platform Umum) dan CVE (Kerentanan dan Eksp...
Read more

WriteUp Forensic KKS TNI-AD | CTF 2020 Kategori (Umum)

By -
Image
Selamat malam temen-temen semua, kali ini saya ingin menyempatkan menulis sebuah writeup saat mengikuti kompetisi CTF tingkat nasional yang diselenggarakan oleh Pusat Sandi dan Siber TNI Angkatan Darat (Pussansiad). Sebelumnya saya meminta maaf jika nanti tulisan saya ini berantakan dan sulit untuk dipahami. Apa sih CTF itu ? CTF (Capture the flag) atau lebih tepatnya lagi: Security CTF adalah kompetisi dalam bidang security di mana para peserta diminta mencari flag (berupa string tertentu) yang disembunyikan atau dilindungi dengan cara tertentu. Tujuan dari Pussansiad menyelenggarakan kompetisi ini adalah untuk memberikan wadah bagi generasi muda, untuk menguji kemampuan dalam bidang keamanan siber. Beberapa soal dan skenario yang biasanya diadakan diantaranya: Open-Source Intelligence (OSINT), Digital Forensic, Cryptography, Reverse engineering & Binary exploitation, Web Vulnerability, attack and defense, dll.  Untuk kali ini saya ingin menuliskan step by step ataupun writeu...
Read more

[Update] Tutorial Cryptojacking | Ilegal Mining

By -
Image
Pada kesempatan kali ini saya akan menuliskan bagaimana cara seseorang menambang sebuah mata uang kripto (cryptocurrency) pada device orang lain dengan memanfaatkan javascript. Saya menulis artikel ini bertujuan untuk pembelajaran sebagai penambah pengetahuan karena teknik ini bisa dikatakan sebagai teknik yang sangat curang. So, saya tidak bertanggung jawab dengan suatu hal yang terjadi nantinya. Untuk cara kerja teknik ini sangatlah simpel, pada saat seseorang mengunjungi website kita, secara otomatis script penambang akan berjalan pada device tanpa izin si pengunjung. Langung ke inti pembahasan, hal pertama yang kalian butuhkan adalah Akun coinimp.com Web / Webshell Langkah pertama membuat akun coinimp.com Buka website officialnya  https://www.coinimp.com/ Daftar akun seperti biasa Kemudian klik dashboard Klik Add New Site Langkah kedua kustomisasi Javascript Code Untuk kamu yang menggunakan webshell, Klik Get the code  <script src="h...
Read more