隐藏输入字段中的XSS

XSS隐藏输入字段

在Pobeplay官网可以赌rtswigger,我们定期针对流行的Web应用程序的内部测试台运行预发行式BURP套件,以确保其行为正常。beplay体育能用吗最近这样做的时候利亚姆找到了跨站点脚本(XSS)[已编辑]中的漏洞,隐藏的输入元素内:

默认“注入=” XSS”/>

隐藏输入中的XSS是通常很难利用因为由于元素是看不见的,因此无法触发典型的JavaScript事件,例如OnMouseover和Onfocus。

我决定进一步调查,以查看是否可以在现代浏览器上利用它。我尝试了一堆诸如自动对焦,CSS技巧和其他东西之类的东西。最终,我考虑了访问键,并想知道当OnClick事件通过访问密钥激活时是否会在隐藏的输入上调用。它肯定会在Firefox上做!这意味着我们可以在隐藏的属性内执行XSS有效载荷,前提是您可以说服受害者按键组合。在Firefox Windows/Linux上,密钥组合为Alt+Shift+X,OS X上是Ctrl+Alt+X。您可以使用访问密钥属性中的其他密钥指定不同的密钥组合。这是向量:

该向量不是理想的选择,因为它涉及一些用户交互,但是它比仅适用于IE <= 9的表达()要好得多。请注意,如果重复您的反射,则钥匙组合将失败。然后,一个解决方法是注入另一个破坏第二个反射的属性。例如“ AccessKey =“ X” ONCLICK =“ ALERT(1)” X ='

笔记:我们已经向应用程序的安全团队报告了这种漏洞。但是,他们在12天和几封电子邮件后都没有以任何方式做出回应。我们想让人们意识到这一特殊的技术,但是在使用补丁之前,我们不会命名有关的脆弱应用程序。

这个不是第一次打扫扫描仪在一个非常受欢迎的Web应用程序中发现了一个漏洞,我们怀疑这将是最后一个。beplay体育能用吗

更新 - 现在可以在Chrome和Link/Meta以及任何其他元素上使用

现在,该技术在Chrome中起作用!它还可以在链接元素中起作用,这意味着以前无法探索的XSS错误在链接元素中,您只能使用此技术来利用属性。例如,您可能具有一个链接元素,其中包含rel属性在规范上,如果您将AccessKey属性注入onClick事件,则有XSS。

POC使用链接元素(在Windows上按Alt+Shift+X)(OS X上的Ctrl+Alt+X)

访问我们的网络安全学beplay体育能用吗院了解有关跨站点脚本(XSS)的更多信息

XSS

回到所有文章

相关的研究

每日Swig的推荐故事beplay2018官网