目录
(1)这个练习会展示一个表单,用于在浏览器的本地记录中存储信息和相应的
(2)尝试添加一些数据,发现在开发者工具中并没有进行网络通信,绿色条显示
(3)如果检查"Add New"按钮,看到它在单击时调用了一个函数 addItemToStorage:
(4)现在,转到 Debugger 选项卡并查找 addItemToStorage 函数, 在 index.php 的第1064 行找到了这个函数:
(5)尝试设置一个包含 HTML 代码的键值。添加以下键作为键的新值:
3
(6)如果浏览器解释 HTML 代码,则很可能也会出现 JavaScript 块。添加一个新
1.利用DOM XSS
利用DOM XSS攻击时,payload 是由浏览器的 DOM 接收和处理的,这意味着注入的代码永远不会在服务器端运行,并且任何服务器端验证或编码都对这种攻击无效。
启动owasp靶机环境
1.登录owasp靶机
浏览器登入靶机IP,转到 Mutillidae II | OWASP 2013 | XSS | DOM | HTML5 Storage
利用DOM XSS案例
结果截图并作必要的说明。