从业者-XSS上下文-HTML标签之间-反射型XSS-允许使用SVG标签

# 实验室：XSS上下文-HTML标签间的反射型XSS-允许使用SVG标签

# 题目

此实验室存在一个简单的反射型 XSS 漏洞。该网站阻止了常见的标签，但遗漏了一些 SVG 标签和事件。

若要解决实验室问题，请通过调用alert函数来执行跨站脚本攻击。

实验室-从业者

XSS上下文-HTML标签间的反射型XSS-允许使用SVG标签 >>

- name: 实验室-从业者
  desc: XSS上下文-HTML标签间的反射型XSS-允许使用SVG标签 >>
  avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
  link: https://portswigger.net/web-security/cross-site-scripting/contexts/lab-some-svg-markup-allowed
  bgColor: '#001350'
  textColor: '#4cc1ff'

1
2
3
4
5
6

# 实操

点击 “ACCESS THE LAB” 进入实验室。

首页有一个熟悉的搜索功能。

根据题目中的提示，我们可以使用svg标签。

但是onload事件被阻止。

对所有事件进行枚举，发现onbegin事件可用。

onbegin事件要求svg标签与 animation等动画标签配合使用。当animation开始执行时，onbegin事件将会被触发。

对所有动画标签进行枚举，发现animatetransform标签可用。

在XSS备忘单 (opens new window)中找到svg与animatetransform的配套载荷：

<svg><animatetransform onbegin=alert(1) attributeName=transform>

注入刚刚找到的载荷，成功调用 alert 函数。

实验完成。

编辑

← 专家-XSS上下文-HTML标签之间-反射型XSS-事件处理程序和href属性被阻止学徒-XSS上下文-HTML属性中-反射型XSS-尖括号HTML编码→