锚标记(<a>)如何让您进行反射XSS？

Question

我正在浏览OWASP筛选器规避备忘单和，我遇到了本节，其中有一个用于执行XSS的锚标记，其形式如下：

<A HREF="//google">XSS</A>
<A HREF="http://ha.ckers.org@google">XSS</A>
<A HREF="http://google:ha.ckers.org">XSS</A>

我可以想象它在存储的XSS攻击中的使用(就像某个论坛帖子说"Click“)，但我无法想象它在反射XSS攻击中的使用。有人能分辨出是否可以使用锚标记进行反射XSS吗？如果是，怎么做？

Answer 1

当有用于形成链接本身的信息时，就可以这样做:想象一个页面：http://site.com/redirect.php?target=google.com，它将显示其中一个“您要离开site.com，我们不负责……单击这里……”。它可以将URI的一部分(目标参数)放入HTML代码中。

如果您试图用"google.com"%20onclick="alert(document.cookie)"，来转义这一点，您可以形成以下内容：

<a href="http://google.com" onclick="alert(document.cookie)">

当然，如果有的话，还有很多--但这是可以做到的。

Answer 2

当然，只要站点使用非持久性数据来构造锚标记，而不对数据进行适当的消毒，这是可能的。人为的例子：

<a href="/whatever?s={Write unsanitized query string value here}">{or maybe here?}</a>

尽管如此，您发布的链接与URL字符串规避有关，而不是反映XSS。您是否可能对XSS的反映感到困惑？或者我可能只是误解了你的问题:)