实验室:DOM XSSInnerhtml使用来源的接收器location.search
这个实验室包含一个基于DOM的跨站点脚本搜索博客功能中的漏洞。它使用一个Innerhtml分配,改变了A的HTML内容div元素,使用来自location.search。
要解决这个实验室,请执行跨站脚本攻击称呼警报功能。
解决方案
将以下内容输入到搜索框中:
- 单击“搜索”。
价值src属性无效并引发错误。这触发了Onerror活动处理程序,然后称警报()功能。结果,每当用户的浏览器尝试加载包含您恶意帖子的页面时执行有效载荷。
