NodeJS - XSS

首先进入/skf-labs-master/XSS文件夹下，执行命令：
$ npm install

$ npm start

抓包看看内容

查看源码

app.post("/home", (req, res) => {
  let userInput = req.body.string;
  res.render("index.ejs", { xss: userInput });
});

<center> <p style="font-size:2em;"> <%- xss %> </p> </center>

res.render用法：https://vimsky.com/examples/usage/express-js-res-render-function.html

然后在 index.ejs 中使用该变量来显示用户提供的内容。但是您可以看到 ejs 中使用的标记是<%-这意味着模板引擎没有转义它。

进行xss注入

查看页面代码，看看是如何拼接的

posted @ 2023-01-24 19:26 smile_2233 阅读(113) 评论(0) 编辑收藏举报

刷新页面返回顶部

security