Uncategorized

XSS WITH GIF IMAGE

ဒါေလးကေတာ့ alert(“XSS”) ကိုခြင့္မျပဳတဲ့အခ်ိန္မွာသံုးဖို႕နည္းေလးပါ

သေဘာက်လို႕ စမ္းျပီးျပန္တင္ေပးထားတာပါ။ ဖန္တီးရတာလည္းသိပ္မခက္ေတာ့အဆင္ေျပမယ္ထင္ပါတယ္။

ဒါေပမယ့္ တစ္ခုေတာ့ ရွိတယ္ image upload form ရွိမွေတာ့အဆင္ေျပမယ္။ ဒီ GIF က host တစ္ခုတည္းမွာရွိေနဖို႕ေတာ့လိုပါတယ္။

ဒီ Code ေလးကို .gif extension နဲ႕ save လိုက္ရင္ရပါျပီ။

ကိုယ့္ဖာသာျပန္စမ္းခ်င္တယ္ဆိုရင္ေတာ့ localhost မွာ directory တူတူထားျပီးစမ္းၾကည့္ေပါ့။

GIF မဟုတ္ပဲ တျခား file ေတြအေနနဲ႕စမ္းမယ္ဆိုရင္ေတာ့ File Signature ေလးေတြသိဖို႕လိုပါမယ္။

 

Vectors ပံုစံေလးကေတာ့

POC :

Thanks for Reading

@art0flunam00n

Refrence : brutelogic & d0lph1n98
// ]]>

Previous Post Next Post

You Might Also Like

No Comments

Leave a Reply