Stored DOM-based XSS on Xiaomi

Stored DOM-based XSS on Xiaomi

Stored DOM-based XSS on Xiaomi Bahasa Indonesia  |  English

Kemarin saya baru saja menemukan Stored XSS di Forum Xiaomi melalui Markdown, sekarang saya menemukan Stored DOM-based XSS pada Forum Xiaomi.

Postingan Terkait:



Yang pertama, saya coba post thread di Forum Xiaomi


Setelah itu saya lihat kode sumber,


Judul thread ditampilkan dalam kutipan belakang (``)
var threadTitle = `Hellooooooooooo`

Apakah kalian menyadari sesuatu? sebenarnya kita bisa menjalankan fungsi JavaScript dalam kutipan belakang(``) dengan menggunakan ${ }
Contoh:
var abc = `dada${alert(1)}`

Final Payloads:
Hellooooooooooo${alert(1)}

XSS fire up


Response:


#HappyHacking

Related Post: