目录
前言
这篇文章记录我搭建DOM型XSS漏洞的环境,以及如何利用该漏洞进行攻击的过程。
DOM型XSS
DOM可以理解为访问HTML的标准接口,DOM里面会把我们的HTML分成一个DOM树
我们可以以这棵树为入口,通过DOM的某些方法对树进行操作,比如对标签的添加、改变和删除等等, DOM这个东西相当于在前端提供了一个通过JS去对HTML进行操作的接口。
查看前端代码,发现输入的内容会被拼接到,对应标签中,存在dom性的xss,我们只需要精心构造payload,闭合前面就行。
前端实现分析
观察网页, 随便输入一个值, 点击 click 的时候, 出现链接
点击之后发现可以实现跳转:
在网页源代码也可以看到, 点击click之后生成了<a>标签: