Uncategorized

POST-based XSS on DomaiNesia

DomaiNesia adalah perusahaan yang melayani registrasi nama domain, Web Hosting, VPS, dan lain-lain. Disini saya akan menceritakan bug yang saya temukan pada situs DomaiNesia, bug yang saya temukan adalah POST-based XSS.

Saya perlu beberapa menit untuk melihat setiap halaman, cek setiap URL & parameter, mencoba untuk memasukkan beberapa kode/karakter pada form, dll.
Sampai akhirnya pada halaman:
• https://www.domainesia.com/konfirmasi/
Pada halaman ini, terdapat beberapa input intuk “Konfirmasi Pembayaran” dan juga terdapat input file.

Saya tertarik pada input file yang ada pada halaman tersebut, saya coba untuk upload file bernama img.jpg dan mendapatkan response seperti dibawah ini,
<img id='previewImage' src='https://files.domainesia.com/bukti-pembayaran/2019-10-14-94638-img.jpg' alt='Bukti Transaksi' width='100'>

Saya coba untuk memasukkan karakter petik satu pada nama file yang saya upload berharap atribut src=’ ‘ tertutup, saya mengganti nama file menjadi img’.jpg dan mendapat response,
<img id='previewImage' src='https://files.domainesia.com/bukti-pembayaran/2019-10-14-94638-img' .jpg' alt='Bukti Transaksi' width='100'>

Karena bisa menutup atribut src=’ ‘ , saya selanjutnya mencoba memasukkan payloads XSS seperti dibawah ini,
• img'onerror='alert(document.domain)'.jpg
• img'onerror='alert(document.cookie)'.jpg

Response dari server,

POST-based XSS

Avatar

Black Eirlys

About Author

Black - Means "Hitam" in English, conveying a sense of darkness. Eirlys - Means "salju" in Welsh, conveying a sense of cold and beauty.

Leave a comment

Your email address will not be published. Required fields are marked *

You may also like

Uncategorized

XSS on Xiaomi with KNOXSS

Xiaomi Bug Bounty Programs: https://hackerone.com/xiaomi Ketika kita melihat program Bug Bounty dari Xiaomi, mereka meberima semua subdomain dari mi.com dan xiaomi.com Dan saya
Uncategorized

JavaScript bukan lagi bahasa pemrograman favorit bagi developers

TypeScript adalah bahasa pemrograman nomor satu di antara pengembang. Sebuah laporan baru telah mengungkapkan JavaScript bukan lagi bahasa pemrograman paling populer di