首先打开靶场,在文本框里输入<script>alert(aaa)</script>
底下出现一个"what do you see"
并没有弹窗显示,于是我们直接右键检查源码:
找到了一段js代码,寻找DOM XSS的本质是做js语言阅读理解题,能读懂就行:
注意这段代码:
document.getElementById("dom").innerHTML = "<a href='"+str+"'>我们输入的字符串会链接在 "<a href='"+str+"'>这里
所以,我们只需要把前面的东西闭合:'>或者在闭合过程加点料:
'><img src="#" onmouseover="alert('xss')">
这种闭合需要配合鼠标操作:onmouseover需要鼠标划过,onclick需要鼠标点击' onclick="alert('xss')">
需要配合鼠标点击鼠标经过时弹窗出现,拿下!
扫一扫
420
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
