发布:2018年7月18日,14:09 UTC
更新:2021年7月19日在07:19 UTC
晃来晃去的标记是一种通过使用诸如图像之类的资源将数据发送到攻击者控制的远程位置的资源来窃取页面内容的技术。当它有用时反映XSS不起作用或被阻止内容安全策略((CSP)。这个想法是,您注入了某些处于未完成状态的部分HTML,例如图像标签的SRC属性,并且页面上的标记的其余部分关闭属性,但也将数据中的数据发送到远程服务器中。例如,假设我们在脚本上方有一个注射点,则有这样的形式:
注射此处测试
>
您可以在这里亲自尝试POC:
您可以通过在任何潜在注入之前拥有自己的基本标签来防止基本标签注入,这将防止第二个基准标签能够覆盖目标。例如:
因此,当然,我试图打破缓解措施,并提出了一种绕过XSS审核员和CSP的技术,而无需使用基本标签。这个想法是将一个带有目标的表单注入表单,并在将表单提交时,再次通过正常链接向其张贴。首先单击将带有目标的窗口名称设置窗口名称,然后您必须单击链接以从窗口名称中检索数据,因此您有两次单击而不是一个。
访问我们的网络安全学beplay体育能用吗院了解有关跨站点脚本(XSS)的更多信息