0x00
有时候,网站会将Referer或者是Request_URI的内容读取呈现出来。
在这种情况下,我们若是能构造一个页面跳转到目标页面,就能在IE下通过Referer完成XSS。
或者构造链接,能够在IE下通过Request_URI完成XSS。
影响版本: IE 11
0x01 IE下Referer Header XSS
这里一个问题是,Chrome和Firefox都会对跳转链接里的<>字符进行url编码,然而IE并不会。
那么我们就可以构造一个跳转页面
# referer.php
<iframe src="http://target.com/abc.php">
通过浏览器访问这个页面的时候,会通过iframe标签加载我们的目标网页。
在这时,我们构造这样的跳转页面链接
http://127.0.0.1/referer.php?<script>alert(document.domain)</script>
就能在跳转的时候,在Referer Header里成功带上我们的Payload。
0x02 IE下Request_URI XSS
从上面可以看出,IE并不会对URL里?号后面的<>进行URLEncode。
例如http://127.0.0.1/1.php?<>,这里的<>就不会被URLEncode。
那么我们就可以直接构造
http://127.0.0.1/request_uri.php?
就可以对REQUEST_URI进行注入,导致XSS。
文章评论