Hidden属性的input标签中XSS的触发方法
来源:互联网 发布:ubuntu离线安装软件包 编辑:程序博客网 时间:2024/06/01 09:06
今天看到一个XSS漏洞,插入点在一个有hidden
属性的input
标签,大致情况如下:
- 1
- 1
正常情况下的XSS应当是:
http://victim/?value=” onclick=”alert(document.domain)
但是这里由于该input
未在页面中显示,常用的onclick
方法无法使用(点不到这个标签怎么触发onclick…),不过在浏览器中还有一个好玩的属性叫accesskey
于是乎构造:
- 1
- 1
PoC为:
http://victim/?returnurl=” accesskey=”X” onclick=”alert(document.domain)
触发方法不同的浏览器不同,下面是w3school的总结:
所以上面的XSS触发方法为:
FF下:shift+alt+X (测试成功)
Chrome:alt+X (最新版Chrome未测试成功)
IE下:alt+X (未测试成功)
原文链接:http://blog.csdn.net/change518/article/details/51024706
阅读全文
0 0
- Hidden属性的input标签中XSS的触发方法
- Hidden属性的input标签中XSS的触发方法
- input标签的hidden属性,四大常用JSTL标签库
- input标签的hidden属性的应用及作用
- input标签的hidden属性的应用及作用
- input标签的hidden属性的应用及作用
- <input>标签中属性"type=hidden"作用
- js中input标签内容改变的触发事件
- input 标签的属性
- html中input标签的tabindex属性
- html5中input标签增加的属性
- input标签内容改变的触发事件
- input标签内容改变的触发事件
- input标签内容改变的触发事件
- input标签内容改变的触发事件
- input标签内容改变的触发事件
- input标签内容改变的触发事件
- input中 disabled、readonly、hidden的区别
- XHTML与HTML的重要区别
- [题解]bzoj2243 SDOI2011 染色
- 牛客网刷题笔记--网络基础
- js exception 说明 (获取异常)
- ZigBee TI ZStack CC2530 3.20 串口03-printf()函数移植
- Hidden属性的input标签中XSS的触发方法
- ios-Foundation和Core Foundation
- 使用VC++2005 编码框架
- 编写的第一个python表达式出炉
- 几种市面比较流行的摄像头的rtsp协议协议格式
- Thread.sleep/wait
- 程序员应该访问的最佳网站中文版
- 关于x5button的操作
- 【备忘】微信小程序从入门到实践视频教程