[DEFACER.ID] Vulnerability Stored XSS PoC

Learn System Security - Halo sobat, selamat pagi semuanya, semoga baik aja ya kabarnya :D
Pasti kalian sudah tidak asing lagi dengan situs yang beralamatkan defacer.id ini, DefacerID adalah tempat untuk mengarsipkan hasil deface para attacker dari dalam ataupun luar negri.

Bug Stored XSS ini akan muncul jika kalian memasukkan payloads di "Web Hacker Name:" atau biasa disebut "Nickname" pada saat melakukan submit mirror di https://defacer.id/archive/notify.


Setelah saya coba memasukkan beberapa payloads seperti dibawah ini, wkwkwk. Akhirnya saya menemukan payloads yang passs untuk mendapatkan XSS pada halaman Defacer.ID

Payloads :
" onclick=prompt`1`>
Saya memasukkan payloads diatas pada "Web Hacker Name:" atau biasa disebut "Nickname" pada saat melakukan submit mirror.
Untuk mendapatkan XSS pada halaman defacerid, kalian cukup membuka https://defacer.id/archive/attacker/-onclick-prompt%601%60- dan klik pada nama Attacker seperti pada screenshot dibawah ini.

XSS akan muncul pada halaman tersebut.

Screenshot dibawah ini adalah source code dari halaman defacerid yang menampilkan XSS.
Perhatikan pada barisan code berikut, karena pada baris tersebut XSS akan bekerja.
<a href="https://defacer.id/archive/attacker/-onclick-prompt`1`-" title="" onclick=prompt`1`>">" onclick=prompt`1`></a>


Yasudah lahh, mungkin hanya itu untuk hari ini, terimakasih...
Sekian dari saya, Happy Bug Hunting and thanks for come here.

0 comments