目录
📔一个循环
📘目的
📒过程
📓两个循环
📘目的
📒过程
📔一个循环
📘目的
- 首先下图中的js一次循环删除语句将我们插入的元素的属性进行了删除,那么我们的目的就是通过事件属性将下面的循环绕过,换个思路就是让它不要去remove有用的属性,通过两种方式来执行我们的恶意属性完成弹窗,两种方式分别是:(1)进循环不删除有用的属性(2)不进循环,在进循环前就执行了恶意属性
📒过程
- 要想实现让它删除无用的属性就要搞清楚它的删除过程,下面将演示一下这个删除中存在的问题(它删除了第一个获取的属性src但是为什么却没有删除后面的onerror属性呢?)以及如何通过这个问题去实现绕过然后执行事件属性弹窗的效果
(1)进循环不删除有用的属性
- 理解了循环删除的缺点后我们利用它来让恶意属性绕过删除,就可以达到我们的目的
(2)不进循环,在进循环前就执行了恶意属性
- 除了在标签内可以利用一次循环删除的缺点逃逸外还有这种利用svg标签来进行恶意弹窗效果
📓两个循环
📘目的
- 这里的2次循环删除与一次不同之处在于通过第二次循环将属性都放入了一个新的数组进行删除,避免了恶意属性的逃逸,那么我们的目的就是通过两种方式来执行我们的恶意属性完成弹窗,两种方式分别是:(1)进循环不删除有用的属性(2)不进循环
📒过程
- 这里因为只要放入元素,它的所有属性都会被删除,所以我们就需要使用DOM破坏的方式使恶意属性进入循环中执行,也可以通过不进循环中执行,在循环开始前执行
(1)进循环不删除有用的属性
- 这里如果想让进入循环的属性生效你就需要组成一个可迭代对象,即放入两个id/name相同的标签组成一个可迭代对象(数组),循环删除中相当于在取form表单的属性attributes,而这个id/name就是两个相同id=attributes的input,然后删除两个input组成的数组中的input,而并没有删除input标签,所以form中的tabindex属性自动锁定(input标签),然后onfocus会捕获焦点触发弹窗
HTML tabindex 属性https://www.w3school.com.cn/tags/att_standard_tabindex.asp
(2)不进循环
- 这里使用两个svg标签的原因是,它会在循环执行前就执行恶意属性,而使用一个svg时它直到循环执行后还都不会执行
- 前面加一个svg的原因是当没有svg闭合标签时就会触发下面的判断,如果你的svg不是最外侧的就会创建一个事件去执行它,所以这里要使后面的svg不是最外侧才会被执行