DOM XSS
0 人感兴趣 · 2 次引用
- 最新
- 推荐
利用 Web 消息与 JavaScript URL 实现 DOM XSS 攻击(window.postMessage → innerHTML 接收器)
本文详细解析了PortSwigger实验室中一个基于Web消息的DOM XSS漏洞案例。攻击者利用页面未对postMessage事件进行来源验证和内容净化,通过iframe发送恶意消息,触发innerHTML注入并执行任意JavaScript代码,最终完成实验室挑战。
深入剖析 DOM XSS:从 location.search 到 innerHTML 的攻击路径
本文详细分析了PortSwigger实验室中一个基于DOM的XSS漏洞案例,攻击者通过搜索框输入利用location.search参数,将其直接注入innerHTML后触发SVG onload恶意代码执行。
