Firefox中DOM XSS攻击失败

Question

我正在尝试执行DOM XSS攻击，以利用本地主机网页的漏洞。我能够成功地在IE-11和Chrome上执行攻击。但是Firefox阻止了我通过对我放在URL中的脚本进行编码来执行攻击。正如在官方OWASP页面上解释的那样，我正在执行攻击。为了绕过chrome的XSS审计师，我遵循了在这篇精彩的文章中解释的技巧(尽管他在文章中解释了XSS，但它对DOM也很有效)。那么，我如何在最新的Firefox上执行DOM XSS攻击呢？

注意:我可以用火狐(示例)执行反射XSS，但我希望DOM特别是那些信息没有发送到服务器的地方。

Answer 1

原因很简单: Firefox (我认为从27版开始)现在对所有内容都进行了编码(URL编码)，如果开发人员在代码中明确错误地解码，那么现在只能利用Firefox中的DOM XSS。

您可能会发现这篇最近发表的文章很有用：http://www.lanmaster53.com/2014/3/dom-based-xss-revisited/

Answer 2

也许可以查看https://code.google.com/p/domxsswiki/wiki/Index，以帮助您根据浏览器供应商确定编码或不编码的字符。

例如，在下面..。scheme://user:pass@host/path/to/page.ext/Pathinfo;semicolon?search.location=value#hash=value&hash2=value2...下面列出了在火狐中没有在PathInfo部件、搜索部分和散列部分中编码的字符(上面链接的页面的一个部分的屏幕截图)：