实验室:用角括号html编码的XSS将XSs反映为属性
学徒
这个实验室包含一个反映的跨站点脚本搜索博客功能中的漏洞在其中编码了html。要解决该实验室,请执行跨站点脚本攻击,该攻击注入属性并调用警报
功能。
解决方案
- 在搜索框中提交一个随机的字母数字字符串,然后使用Burp Suite拦截搜索请求并将其发送给Burp Repeater。
- 观察到随机字符串已反映在引用属性中。
用以下有效载荷替换输入,以逃避报价属性并注入事件处理程序:
“ onmouseover =”警报(1)
- 通过右键单击,选择“复制URL”并将URL粘贴到浏览器中来验证该技术。当您将鼠标移到注入的元素上时,它应该触发警报。
社区解决方案beplay维护得多久
迈克尔·索默(Michael Sommer)