当前位置: 首页 > news >正文

Pikachu-Cross-Site Scripting-DOM型xss_x

news 2025/5/16 9:22:38

查看代码,输入的内容,通过get请求方式,用text 参数带过去;

获取text内容,赋值给xss 然后拼接到 dom 里;构造payload的关键语句:

<a href='"+xss+"'>就让往事都随风,都随风吧</a>

闭合标签,如下;

<a href='#' onclick="alert(11)">'>就让往事都随风,都随风吧</a>

所以str 为 #' οnclick="alert(11)">

输入,得到xss 结果

同样的,由于直接拼接到 get 的请求参数,所以这也是个反射型;可以直切把url复制出来,达到攻击效果;


http://www.mrgr.cn/news/41306.html

相关文章:

  • Android 车载虚拟化底层技术-显示虚拟化(双card)总览
  • 【SQL】DDL语句
  • 信息学奥赛复赛复习09-CSP-J2020-03表达式求值前置知识点-中缀表达式求值、模运算、模运算性质、栈
  • 【cpp/c++ summary 工具】 vld(Visual Leak Detector)windows 内存泄漏检测工具
  • MDM监管锁系统ABM证书与MDM证书申请与使用
  • 【Python报错已解决】TypeError: ‘str‘ object cannot be interpreted as an integer
  • Shell文本处理(三)
  • 【橙子老哥】c# 探究属性与字段本质
  • 3271.哈希分割子串
  • Swift并发笔记
  • 【MySQL 06】表的增删查改
  • Mybatis-Flex使用
  • IP 协议的相关特性
  • 【信息系统项目管理师考题预测】范围管理
  • 土地规划与区域经济发展:筑基均衡未来的战略经纬
  • 利士策分享,行走•悟世•惜福: 旅行真谛
  • 告别 backtrader!换这个库实施量化回测
  • sed引入变量中的坑
  • marker=‘o‘, linestyle=‘-‘, color=‘b‘ plt.plot画图参数含义
  • ECharts图表图例4