本文详细解析了Xss-Labs靶场中的Level-13安全挑战,涉及逻辑后端代码中的SQL注入点,以及利用onmouseover属性进行跨站脚本攻击(XSS)的实例。作者还会分享后续的Level-14解题内容。
读者可参考、订阅专栏:【Xss-Labs靶场攻防实战】
正文
逻辑后端代码:
str33为注入点,而str33由str11经过滤得到,str11为cookie中的user字段
故以user字段为攻击点构造POC:
" type="text" onmouseover="alert(1)"
onmouseover属性
“onmouseover” 是一个 HTML 属性,通常用于在鼠标悬停在元素上时触发 JavaScript 代码。
例如,以下是一个在鼠标悬停在元素上时触发弹出窗口的示例:
<div onmouseover="alert('Hello, World!')">悬停在我上面</div>
在上述示例中,当鼠标悬停在<div>元素上时,浏览器将执行 “onmouseover” 属性中指定的 JavaScript 代码 alert(‘Hello, World!’),然后弹出一个警告框显示 “Hello, World!”。
回显如下:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
