如何执行简单的基于 DOM 的 XSS 攻击

Question

这是我的 index.html（易受攻击）：

<!DOCTYPE html>
<html>

  <head>
    <link rel="stylesheet" href="style.css">
    <script src="script.js"></script>
  </head>
<script>
    document.write("<form><select>"); 

    document.write("<option value=1>" + 
    document.location.href.substring(document.location.href.indexOf("default=") + 8)
+ "</option>");

    document.write("<option value=2> French </option>");

    document.write("</select> </form>");
    document.write(document.location.href);
</script>
  <body>

  </body>

</html>

它应该从../index.html?default=English 获取默认语言，这会将默认语言设置为英语。

我正在尝试使用../index.html?default=<script>alert(document.cookie)</script> 在屏幕上显示cookie，但浏览器似乎将> 编码为%3E。我也用过\x3Cscript>alert(document.cookie)\x3C/script>、\x3Cscript\3Ealert(document.cookie)\x3C/script\3E and <script>alert(document.cookie)</script>，但没有运气。

Answer 1

您的易受攻击的代码需要在解析出该位置的字符串上使用decodeURIComponent，才能使攻击起作用：

document.write("<option value=1>" + 
    decodeURIComponent(
        document.location.href.substring(
            document.location.href.indexOf("default=") + 8)) 
    + "</option>");

这样做是“有意义的”（对于编写易受攻击的代码的人......），因为来自 URL 的字符串可能合法地包含诸如 > 之类的字符。

有关演示，请参阅http://plnkr.co/edit/Vctoj7GOLMvlvhS98Mk4?p=preview