Halo kembali lagi ke daffa.info yang pastinya tutorial-tutorial yang mantap akan disajikan disini. Disini saya akan membahas, bagaimana saya menemukan XSS pada wordpress versi baru terbaru, yaitu versi 5.3.

Waktu kemarin saya mempost beberapa post mengenai XSS yaitu tipe-tipe XSS Attack dan GET dan POST pada Serangan XSS nah dan sekarang saya menemukan XSS pada WordPress versi 5.3

Kemarin saya mencoba semua fitur yang ada di WordPress, seperti add comments, pages, media, dan lain-lainnya. Waktu saya mencoba pada fitur add post dan mencoba payload XSS sederhana di title post, yaitu

<script>alert(document.domain)</script>
Payload yang saya coba di daffa.info

Waktu itu saya masih publish private, mungkin yang kemarin masih liat postingan di daffa.info mohon maaf jangan kaget kemarin ada post baru isinya Alert yang berarti payload XSS saya bekerja. Waktu itu saya senang karena menemukan Bug Stored XSS dan saya langsung report ke WordPress melalui akun Hackerone saya.

XSS berhasil

Namun saat setelah report, laporan saya ditolak lebih tepatnya “Not Applicable” WordPress membalas dengan balasan ini https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/#why-are-some-users-allowed-to-post-unfiltered-html.

Setelah berbagai opini di IndoXploit dan saya baru menangkap bahwa XSS ini bukan bug. Jadi sebenarnya editor itu memang bisa dimasukkan script html maupun javascript. Tetapi dengan saya masukkan payload XSS yang pasti itu akan bekerja, dan pihak WordPress menyadari hal tersebut.

Cara Memperbaiki

Jika kamu punya website yang memakai CMS WordPress dan nggak hal ini terjadi, bisa dilakukan dengan membuka wp-config.php dan menambah sedikit line di file tersebut

 define( 'DISALLOW_UNFILTERED_HTML', true );

https://hackerone.com/reports/754352 Ini hasil report saya ke wordpress

Sekian tutorial dari daffa.info, Salam Sukses!