İşlev Adı ve Parantez ile XSS Arasında Bir Şey, Shazzer
Son zamanlarda @Gareth Heyes başka bir ilginç tarayıcı motoru kuralı arıyordu. aracılığıyla birçok şey paylaşıldı.
XSS Yükleri
Bu, işlev adı (uyarı gibi) ve () arasına rastgele karakterler eklemenizi sağlayan, anormal işlev formlarını çalıştırmanıza izin veren bir hiledir.
Özelliklere bakıldığında Gibi varlıklar kullanılır, ancak bu varlıklar işlendiğinde gerçek görünür verilerden farklı olarak Javascript’in davranışını etkilemezler. kısa ile alert( gibi normal ifadeye dayalı doğrulama mantığını atlamada yardımcı olabilir. Hatta tarayıcıda ifade edildiğinde aşağıdaki gibi ifade edilir ve script çalışır.
![]()
src="data:" onerror="alert (1)">
Shazzer sonucu / https://shazzer.co.uk/vectors/6680124e2529f65f4845d64b
ile \fj
Anton’un paylaştığı bu payload da ilginç.
Prensip yukarıdakine benzer, ancak yukarıdaki sözdizimi tarayıcı içindeki motor tarafından işlendiğinde, fj öyle mi fjişlenmiş ve bunun sonucunda location.href="https://www.hahwul.com/2024/06/30/xss-bypass-something-between-function-name-and-parentheses/\fjavascript:alert(1337)"Javascript olarak çalışır. Şu anda konum.href giriliyor \fform besleme karakteri olarak göz ardı edilir ve sonuç olarak javascript(1337) konum.href’e dahil edilir.
Shazzer
Gareth Heyes’in yarattığı ShazzerWeb tabanlı Fuzzer, XSS gibi çeşitli web tabanlı vektörleri birden fazla tarayıcıda test edebilen bir araçtır.
Yeni vektörleri bulmak ve test etmek için gerçekten yararlı bir araç olduğunu düşünüyorum, bu yüzden ilgileniyorsanız kullanmanızı öneririm 🙂