dom-xss研究系列-027

admin 2023年2月27日01:34:37评论11 views字数 395阅读1分19秒阅读模式

dom-xss研究系列-027

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任

前言

本文是对Youssef发现的一个基于DOM类型的XSS进行的一个深度分析,

第一个漏洞允许恶意用户通过postMessage方法从facebook.com域发送跨源信息。存在漏洞的接口会在请求参数中接受用户控制的内容,并以所提供的数据构建一个对象,与postMessage一起发送至opener窗口。然后,又发现了另一个bug,并与之前的bug联系起来,这个bug是一个脚本通过Eventlistener,根据收到的消息数据,构建并提交一个表单(此过程存在漏洞)。

注意:看本文之前需要复习一下第十三讲(dom-xss研究系列-13)

正文

原文始发于微信公众号(迪哥讲事):dom-xss研究系列-027

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月27日01:34:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   dom-xss研究系列-027http://cn-sec.com/archives/1576689.html

发表评论

匿名网友 填写信息