Low 级别 DOM 型 XSS 演示(附链接)

简介: Low 级别 DOM 型 XSS 演示(附链接)

环境准备


测试

打开 DVWA 靶场并登录,找到 DOM 型 XSS 页面(笔者这里是 Low 级别)

检查其标签属性

// 在上述代码中,首先通过document.location.href.indexOf("default=")判断当前页面URL中是否包含字符串"default="。如果包含,那么会执行条件语句中的代码块。
 
// 在条件语句的代码块中,首先使用document.location.href.indexOf("default=")+8来获取"default="后面的值的起始位置,并将这个位置传递给substring()方法来获取"default="后面的值。这个值被赋给变量"lang"。
 
// 然后,通过document.write()方法将一个新的选项添加到下拉菜单中。这个选项的值是通过将"lang"变量插入到字符串中得到的,同时也使用decodeURI()函数对"lang"进行解码。这样做是为了确保在选项中显示的文本是解码后的值,以避免任何可能的编码问题。
 
// 接下来,通过document.write()方法添加一个禁用的选项,显示文本为"----"。
 
// 最后,通过document.write()方法添加四个固定的选项,分别为"English"、"French"、"Spanish"、"German"。
 
// 总结起来,上述代码的目的是动态生成一个下拉菜单,其中的选项根据URL中的参数"default"来确定。如果URL中存在"default"参数,则将其作为一个选项添加到下拉菜单中,并在选项中显示解码后的值。然后,添加一个禁用的选项和四个固定的选项。最终生成的下拉菜单将显示URL中的"default"参数(如果存在)作为默认选项,否则默认选项


<form name="XSS" method="GET">
    <select name="default"> 
        <option value="English">English</option>
        <option value="French">French</option>
        <option value="Spanish">Spanish</option>
        <option value="German">German</option>
  </select>
  <input type="submit" value="Select">
</form>

直接点击图中 Select

发现 URL 参数发生变化,English 作为参数

页面标签也发生变化

根据 JS 代码推测是将 URL 后的参数直接拼接到 HTML 标签中

输入 script 试试


符合预期,没有设置过滤,开始

<script>alert(/xss/)</script>

成功



相关文章
|
7月前
|
存储 JavaScript
Medium 级别存储型 XSS 演示(附链接)
Medium 级别存储型 XSS 演示(附链接)
|
4月前
|
监控 JavaScript 安全
DOM Based XSS的防范措施有哪些
【8月更文挑战第25天】DOM Based XSS的防范措施有哪些
87 3
|
4月前
|
JavaScript 安全 前端开发
介绍DOM Based XSS
【8月更文挑战第25天】介绍DOM Based XSS
57 1
|
7月前
|
JavaScript
High 级别 DOM 型 XSS 演示(附链接)
High 级别 DOM 型 XSS 演示(附链接)
|
7月前
|
存储 JavaScript 前端开发
High 级别存储型 XSS 演示(附链接)
High 级别存储型 XSS 演示(附链接)
|
7月前
|
存储 前端开发 JavaScript
Low 级别存储型 XSS 演示(附链接)
Low 级别存储型 XSS 演示(附链接)
|
7月前
|
JavaScript
Medium 级别 DOM 型 XSS 演示(附链接)
Medium 级别 DOM 型 XSS 演示(附链接)
|
2月前
|
JavaScript
DOM 节点列表长度(Node List Length)
DOM 节点列表长度(Node List Length)
|
2月前
|
JavaScript
HTML DOM 节点树
HTML DOM 节点是指在 HTML 文档对象模型中,文档中的所有内容都被视为节点。整个文档是一个文档节点,每个 HTML 元素是元素节点,元素内的文本是文本节点,属性是属性节点,注释是注释节点。DOM 将文档表示为节点树,节点之间有父子和同胞关系。
|
2月前
|
JavaScript
HTML DOM 节点
HTML DOM(文档对象模型)将HTML文档视为节点树,其中每个部分都是节点:文档本身是文档节点,HTML元素是元素节点,元素内的文本是文本节点,属性是属性节点,注释是注释节点。节点间存在父子及同胞关系,形成层次结构。