XSS Example 8 (W4P)

Merhabalar, bu yazıda Web for Pentester – XSS Example 8 inceleyip çözümünden bahsedeceğiz.

Web for Pentester incelemelerinin bulunduğu diğer yazılara bu linkten ulaşabilirsiniz: http://www.halilbalim.com/category/web-for-pentester/

Web for Pentester sanal makinesini bu linkten indirebilirsiniz: https://www.vulnhub.com/entry/pentester-lab-web-for-pentester,71/

Bu örneğimizi açtığımız zaman diğer 7 örnekten farklı bir arayüz karşılıyor bizi. Aşağıdaki resimde de görüldüğü gibi, adres çubuğu üzerinden bir değer almak yerine sayfa içerisinde bir form doldurtup, o değeri tekrardan sayfaya döndürüyor.

Hemen ilk aklımıza gelen şeyi deniyoruz, script etiketi gömebiliyor muyuz diye bakıyoruz.

Hayır, o artık ilk örnekte kaldı, farklı bir şeyler denemelisin diyor bize. Direkt, son örneklerden edindiğimiz bir alışkanlıkla kaynak kodları inceliyoruz.

Altı çizili olan yerden anlaşılacağı gibi, direkt kaynak php dosyası referans vermek yerine, adres çubuğundan adresi çekiyor. Bunu fark ettikten sonra adres çubuğundan yararlanarak çözüme ulaşıyoruz yine.

XSS Example 8 Çözümü

Adres çubuğuna ekleme yaparak formu kapatacağız ve ardından içerisine yine script etiketini gömeceğiz. Kullanacağımız kod ise: /xss/example8.php/”><script>alert(“This is Sparta!”)</script>

alert ürettikten sonra kaynak kodumuza tekrardan baktığımızda adres çubuğuna yazdığımız kodu aşağıdaki gibi araya enjekte ettiğimizi görebiliriz.

XSS örneklerinin sonuncusu olan XSS Example 9 yazımızda görüşmek üzere.

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir