ICWR Official Toolers Vulnerability XSRF, XSS Via HTTP Header

Learn System Security - Halo sobat hacker, apa kabs nya semua? semoga baik-baik aja ya. Seperti biasanya, saya akan berbagi bugs yang saya temukan, kali ini adalah bug XSRF dan XSS Via HTTP Header yang terdapat pada situs ICWR yang beralamatkan http://icwr-team.esy.es/index.php?halaman=cari dan http://icwr.000webhostapp.com/csrf/.



XSRF PoC :
Payloads :
'><svg/onload=alert(document.domain)>

Pada icwr-team.esy.es kalian masukkan Payloads pada kolom search, dan kalian akan mendapatkan XSS pada halaman tersebut.

Yang kedua di icwr.000webhostapp.com, kalian coba untuk memasukkan payloads pada salah satu input, lalu klik button yang ada dibawahnya.


XSRF Attack.

XSS Via HTTP Header PoC :
XSS yang satu ini terjadi karena pada beberapa halaman di icwr-team.esy.es menampilkan User-Agent pada HTTP Header.

Untuk mendapatkan XSS Via HTTP Header, kalian coba untuk memasukkan Payloads XSS pada User-Agent lalu coba untuk melihat response dari web tersebut.

Jika kalian masih bingung, kalian bisa menggunakan Tamper Data lalu jangan lupa Start Tamper, Refresh atau buka halaman icwr-team.esy.es, Lalu masukkan Payloads XSS pada User-Agent dan lihat halaman tersebut akan menampilkan XSS.

XSS Via HTTP Header.

Sekian dari saya, Happy Bug Hunting and thanks for come here.

0 comments