读者可参考、订阅专栏:Xss-Labs靶场攻防实战
姿势
逻辑后端代码:
str33为注入点,而str33由str11经过滤得到,str11为cookie中的user字段
故以user字段为攻击点构造POC:
" type="text" οnmοuseοver="alert(1)"
onmouseover属性
“onmouseover” 是一个 HTML 属性,通常用于在鼠标悬停在元素上时触发 JavaScript 代码。
例如,以下是一个在鼠标悬停在元素上时触发弹出窗口的示例:
<div onmouseover="alert('Hello, World!')">悬停在我上面</div>
在上述示例中,当鼠标悬停在<div>元素上时,浏览器将执行 “onmouseover” 属性中指定的 JavaScript 代码 alert(‘Hello, World!’),然后弹出一个警告框显示 “Hello, World!”。
回显如下:
总结
以上为[网络安全]xss-labs level-13 解题详析,后续将分享[网络安全]xss-labs level-14 解题详析。
我是秋说,我们下次见。