实验室:使用Web消息和JavaScrbeplay体育能用吗ipt URL的DOM XSS
从业者
该实验室演示了一个基于DOM的重定向漏洞,该漏洞是由Web消息传递触发的。beplay体育能用吗要解决该实验室,请在利用此漏洞的利用服务器上构造HTML页面打印()
功能。
解决方案
- 请注意,主页包含一个
AddEventListener()
致电该听beplay体育能用吗网络消息。JavaScript包含一个缺陷指数()
检查琴弦“ HTTP:”
或者“ https:”
网络消息中的任何地方。beplay体育能用吗它还包含水槽location.href
。
转到利用服务器并添加以下内容iframe
到身体,记住更换您的LAB-ID
使用您的实验室ID:
- 存放利用并将其交付给受害者。
该脚本发送包含任意JavaScript有beplay体育能用吗效载荷的Web消息以及字符串“ HTTP:”
。第二个参数指定任何靶向素
允许进行Web消息。beplay体育能用吗
当。。。的时候iframe
负载,Postmessage()
方法将JavaScript有效载荷发送到主页。活动听众发现“ HTTP:”
字符串并继续将有效载荷发送到location.href
下沉,那里打印()
函数被调用。