input-hidden + oncontentvisibilityautostatechange = XSS
@kinugawamasato’nun gerçekten harika bir yükü var. Son XSS Bypass: warning_?_(45) makalesinde de belirtildiği gibi, XSS vektörleri üzerine araştırmalar bugünlerde daha aktif hale geliyor ve sonuçta Gizli XSS’de kullanıcı etkileşimini teşvik etmeye gerek yok.
https://x.com/kinugawamasato/status/1816234368714871185
oncontentvisibilityautostatechange Olay işleyicisi MDN belgelerinde gösterildiği gibidir: content-visibility: autoBu, başlatıldığında oluşan ve aynı zamanda gizli öğe içeriğini de etkileyen bir olay işleyicisidir. Gizlendiğinde bile otomatik olarak çalışabildiği için erişim anahtarı aracılığıyla mevcut XSS’nin aksine kullanıcı etkileşimi gerektirmez.
Gerçek testte, Chrome ile https://pocs.hahwul.com/x/hiddenxxss.html adresine erişildiğinde, amaçlanan komut dosyası doğrudan gizli girişin içinde yürütülür.