最后更新于
最后更新于
在这个 的 ** 中, 提出了与上一节类似的方法。让我们来看看。
在这个挑战中,攻击者需要 绕过:
如果他这样做,他可以发送一个包含HTML内容的postmessage,该内容将被写入页面中的**innerHTML
**,而不经过消毒(XSS)。
绕过第一个检查的方法是将**window.calc.contentWindow
设置为undefined
,将e.source
设置为null
**:
window.calc.contentWindow
实际上是**document.getElementById("calc")
。您可以使用<img name=getElementById />
来覆盖document.getElementById
**(请注意,消毒器API--未配置为在其默认状态下防范DOM覆盖攻击)。
因此,您可以使用**<img name=getElementById /><div id=calc></div>
来覆盖document.getElementById("calc")
。然后,window.calc
将变为undefined
**。
现在,我们需要**e.source
为undefined
或null
(因为使用==
而不是===
,null == undefined
为True
)。获得这个是“容易的”。如果您创建一个iframe并从中发送一个postMessage**,然后立即删除该iframe,e.origin
将变为null
。请检查以下代码
为了绕过关于令牌的第二次检查,可以通过发送值为null
的**token
并使window.token
的值为undefined
**来实现:
在postMessage中发送值为null
的token
是微不足道的。
window.token
在调用使用**document.cookie
的函数getCookie
中。请注意,在null
来源页面中访问document.cookie
会触发一个错误**。这将使**window.token
的值为undefined
**。
最终解决方案由提出,如下所示:。
你在网络安全公司工作吗?想要看到你的公司在HackTricks中被宣传吗?或者想要获取PEASS的最新版本或下载HackTricks的PDF吗?查看!
探索,我们独家的
获取
加入 或 或 关注我的 Twitter 🐦。
通过向和提交PR来分享你的黑客技巧。