我正在尝试对搜索字段进行 XSS 攻击,而我的攻击向量反映如下:
<input type="text" id="txtRpHiddenKeyword" style="display: none;" value="ATTACK VECTOR HERE" />
只允许使用双引号并编码尖括号,因此我只能使用事件处理程序来执行我的 JavaScript。问题是 display 设置为 none,因此onMouseOver等onClick将不起作用,所以我的问题是,是否还有其他适用于隐藏元素的事件处理程序?
此漏洞可在 Firefox 中通过onaccesskey 与 onclick 结合使用:
accesskey="X" onclick="alert(1)">
虽然这是 HTML 注入, 但这个漏洞在大多数浏览器中不再是 XSS。这是因为该元素是不可见的,并且没有将在隐藏的输入元素上触发的事件处理程序。
你还不能使用 onerror() 事件处理程序吗?
从上面 Rook 的答案中发布的链接中的第 6 篇文章:
<input type="hidden" value="INPUT" name="test">
take for INPUT this:
whatever" type="image" src="dontcare.jpg" onerror="alert(123)
编辑 - 虽然稍后在同一个线程中,一篇文章提到那里讨论的方法都不再有效。所以也许不是。