High 级别 DOM 型 XSS 演示(附链接)

简介: High 级别 DOM 型 XSS 演示(附链接)

环境准备


测试

打开页面

还是一样的先测试有没有过滤符号,输入 <> 试试

无论是 JS 特殊代码还是特殊符号都没用,都会被重置为 English,输入其选项框中的值则不会,推测后端设置了白名单

利用 & 或 # 符号连接两个 English 试试

// "#"符号:在URL中,"#"符号用于标记页面内的特定位置,也称为锚点。它通常用于在网页中跳转到指定的锚点位置,以便用户可以直接定位到页面的特定部分。例如,http://www.example.com/page.html#section2表示在页面page.html中跳转到section2这个锚点位置。
 
// "&"符号:在URL中,"&"符号用于分隔URL中的不同参数。它通常用于在URL中传递多个参数。每个参数由参数名和参数值组成,它们通过"&"符号进行分隔。例如,http://www.example.com/page.html?param1=value1&param2=value2表示在URL中传递了两个参数,一个是param1,值为value1,另一个是param2,值为value2。



于是咱们可以将后面的 English 替换为恶意代码

// #<script>alert(/xss/)</script>
// &<script>alert(/xss/)</script>

成功


相关文章
|
1月前
|
存储 JavaScript
Medium 级别存储型 XSS 演示(附链接)
Medium 级别存储型 XSS 演示(附链接)
|
1月前
|
存储 JavaScript 前端开发
High 级别存储型 XSS 演示(附链接)
High 级别存储型 XSS 演示(附链接)
|
1月前
|
存储 前端开发 JavaScript
Low 级别存储型 XSS 演示(附链接)
Low 级别存储型 XSS 演示(附链接)
|
1月前
|
JavaScript
Medium 级别 DOM 型 XSS 演示(附链接)
Medium 级别 DOM 型 XSS 演示(附链接)
|
1月前
|
JavaScript
Low 级别 DOM 型 XSS 演示(附链接)
Low 级别 DOM 型 XSS 演示(附链接)
|
1月前
|
JavaScript 前端开发
High 级别反射型 XSS 演示(附链接)
High 级别反射型 XSS 演示(附链接)
|
1月前
|
缓存 JavaScript 前端开发
【JavaScript 技术专栏】DOM 操作全攻略:从基础到进阶
【4月更文挑战第30天】本文深入讲解JavaScript与DOM交互,涵盖DOM基础、获取/修改元素、创建/删除元素、事件处理结合及性能优化。通过学习,开发者能掌握动态改变网页内容、结构和样式的技能,实现更丰富的交互体验。文中还讨论了DOM操作在实际案例、与其他前端技术结合的应用,助你提升前端开发能力。
|
3天前
|
JavaScript 前端开发 安全
【JavaScript 】DOM操作快速入门
【JavaScript 】DOM操作快速入门
6 2
|
4天前
|
JavaScript 前端开发 UED
JavaScript基础-DOM操作:查找、创建、修改
【6月更文挑战第12天】本文介绍了DOM基础,包括查找元素(getElementById、getElementsByClassName等)、创建新节点(createElement、createTextNode)和修改节点(innerText、innerHTML、setAttribute等)。强调了易错点,如ID唯一性、性能考量和安全问题,并提供了代码示例。熟练掌握DOM操作对前端开发至关重要,但应注意性能优化,适时使用框架或库。
JavaScript基础-DOM操作:查找、创建、修改
|
23天前
|
XML JavaScript 前端开发
JavaScript简介&引入方式(JavaScript基础语法、JavaScript对象、BOM、DOM、事件监听)
JavaScript简介&引入方式(JavaScript基础语法、JavaScript对象、BOM、DOM、事件监听)
16 2