PoC :
Payloads: <img/src/onerror=alert(document.domain)>XSRF ini terjadi pada dua halaman yaitu mirror.icwr-tech.id/single-notify.php dan mirror.icwr-tech.id/mass-notify.php, kalian cukup memasukkan payloads pada "URL Defacement" lalu klik button yang ada dibawahnya.
Pada halaman Mass Notify juga sama.
Setelah disubmit maka akan terjadi XSS pada halaman itu.
XSS terjadi karena tidak ada satupun encode dari input yang dimasukkan.
Buat yang masih bingung bisa langsung klik XSS dibawah ini untuk mencobanya:
Sekian dari saya, Happy Bug Hunting and thanks for come here.
0 comments