High 级别 DOM 型 XSS 演示(附链接)

简介: High 级别 DOM 型 XSS 演示(附链接)

环境准备


测试

打开页面

还是一样的先测试有没有过滤符号,输入 <> 试试

无论是 JS 特殊代码还是特殊符号都没用,都会被重置为 English,输入其选项框中的值则不会,推测后端设置了白名单

利用 & 或 # 符号连接两个 English 试试

// "#"符号:在URL中,"#"符号用于标记页面内的特定位置,也称为锚点。它通常用于在网页中跳转到指定的锚点位置,以便用户可以直接定位到页面的特定部分。例如,http://www.example.com/page.html#section2表示在页面page.html中跳转到section2这个锚点位置。
 
// "&"符号:在URL中,"&"符号用于分隔URL中的不同参数。它通常用于在URL中传递多个参数。每个参数由参数名和参数值组成,它们通过"&"符号进行分隔。例如,http://www.example.com/page.html?param1=value1&param2=value2表示在URL中传递了两个参数,一个是param1,值为value1,另一个是param2,值为value2。



于是咱们可以将后面的 English 替换为恶意代码

// #<script>alert(/xss/)</script>
// &<script>alert(/xss/)</script>

成功


相关文章
|
7月前
|
存储 JavaScript
Medium 级别存储型 XSS 演示(附链接)
Medium 级别存储型 XSS 演示(附链接)
|
4月前
|
监控 JavaScript 安全
DOM Based XSS的防范措施有哪些
【8月更文挑战第25天】DOM Based XSS的防范措施有哪些
81 3
|
4月前
|
JavaScript 安全 前端开发
介绍DOM Based XSS
【8月更文挑战第25天】介绍DOM Based XSS
54 1
|
7月前
|
存储 JavaScript 前端开发
High 级别存储型 XSS 演示(附链接)
High 级别存储型 XSS 演示(附链接)
|
7月前
|
存储 前端开发 JavaScript
Low 级别存储型 XSS 演示(附链接)
Low 级别存储型 XSS 演示(附链接)
|
7月前
|
JavaScript
Medium 级别 DOM 型 XSS 演示(附链接)
Medium 级别 DOM 型 XSS 演示(附链接)
|
7月前
|
JavaScript
Low 级别 DOM 型 XSS 演示(附链接)
Low 级别 DOM 型 XSS 演示(附链接)
|
1月前
|
JavaScript 安全 前端开发
同源策略如何防止 XSS 攻击?
【10月更文挑战第31天】同源策略通过对 DOM 访问、Cookie 访问、脚本执行环境和跨源网络请求等多方面的严格限制,构建了一道坚实的安全防线,有效地防止了 XSS 攻击,保护了用户在网络浏览过程中的数据安全和隐私。
99 49
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
93 4
|
1月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
74 2