发布:2022年7月27日在14:57 UTC
更新:2022年7月27日在14:57 UTC
在测试时XSS向量,我们找到了一些不使用IFRAME元素的网站的新方法。beplay体育能用吗自然,我们已经更新了XSS备忘单记录他们。我们发现Chrome允许您使用参数标签更改URL对象标签的标签很像iframe:
<对象width = 1000高= 1000 type = text/html>
<对象width = 1000 height = 1000 type = text/html>
<对象width = 1000 height = 1000 type = text/html>
<对象width = 1000高= 1000 type = text/html>
此外,Chrome&Webkit允许您beplay体育能用吗在嵌入式标签中使用“代码”属性引用外部URL:
<嵌入式代码= https://portbeplay官网可以赌swigger-labs.net width = 500 height = 500 type = text/html>
我们尝试将这些功能用于XSS,但不幸的是,JavaScript URL不起作用,尽管使用数据的URL:协议工作都是从无效的来源执行的,使其对XSS无用。尽管如此,新的框架方式总是对链接其他攻击,甚至绕过CSP。
在其他XSS新闻中是向我们报告当涉及Tabindex属性时,该Firefox现在表现出与Chrome相同的行为。这使得诸如焦点以前没有在Firefox上自动开火。欢呼攻击表面扩展!备忘单现在已更新以反映这一更改。
最后,我们提出了XSS备忘单的搜索接口的请求,这将使在WAF过滤某些属性或标签时更容易找到向量。因此,我们添加了一个,可以使用正则表达式搜索标签,事件和代码。