Self-XSS adalah penyerangan social engineering yang digunakan untuk mengendalikan akun web korban dengan menipu pengguna agar menyalin dan menempelkan konten jahat ke browser mereka. Karena vendor peramban web dan situs web telah mengambil langkah-langkah untuk mengurangi serangan ini dengan memblokir tempelkan tag javascript, saya mencari cara untuk melakukan itu menggunakan Bit.ly, sehingga kami dapat membuat pengalihan yang menunjuk ke "website.com/javascript:malicious_code" . Jika pengguna ditipu untuk menjalankan kode setelah "situs web.com/" cookie dari sesi yang disahkan dari situs web.com akan dikirim ke penyerang.
Features:
Port forwarding menggunakan Serveo.net dan Ngrok
Installation Self-Xss Tool
sebelum menjalankan tool tersebut anda harus menginstall repository github berikut
git clone https://github.com/thelinuxchoice/self-xss
Running Self-Xss Tool
tool ini di tulis menggunakan bash, jika anda sudah melakukan cloning pada repos github di atas sekarang anda masuk ke folder tersebut dan jalankan perintah berikut
cd self-xss bash self-xss.sh
Jika sudah di jalankan sekarang lihat, ada 2 option pilihan, anda bisa memilih serveo dan ngrok dalam kasus ini saya menggunakan serveo
Pilih 1, anda juga bisa menggunakan subdomain, jika tidak menggunakan subdomain disana ada defaultnya yang nanti akan kita gunakan
Jika anda sudah memilih subdomain disana nanti anda bisa memasukkan kresidensial akun bitly anda, contohnya seperti gambar di atas masukkan email dan password
bitly boleh di tulis berdasarkan kresidensial asli akun bitly anda. dan anda juga boleh tidak mengisi kresidensial bitly tersebut
Jika semuanya syaratnya sudah terpenuhi, anda bisa share link bitly yang sudah di sediakan di terminal seperi gambar di atas, jika kalian tidak mengisi kresidensial bitly kalian bisa share link servernya contoh seperto gambar di atas https://nubychan.serveo.net
jika target sudah membuka link tersebut, sekarang anda kembali ke terminal
Jika berhasil akan ada tulisan seperti gambar di atas, dan sekarang buka folder self-xss tersebut
