当input标签hidden属性遇到了xss

起初扫描器给出这样的一个扫描结果:

<input type=”hidden” name=”filter.hotDescirbe” value=”111cfnpx”><a b=c>e4as5” />

根据原始数据包测试了下发现进行了组合过滤,好吧我发现当不使用alert的时候程序就不会转义输出。

<input type=”hidden” name=”filter.hotDescirbe” value=”111cfnpx” onclick=location.href=”baidu.com”>

继续看input属性的type=”hidden”字段,隐藏了,@(咽气),input标签都隐藏了还怎么触发,md 去百度。

HTML DOM accessKey 属性

accessKey 属性设置或返回元素的快捷键。

快捷键规定激活元素或使元素获得焦点的快捷键。

注释:在不同的浏览器中访问快捷键的方式各有不同:

HTMLElementObject.accessKey=accessKey

w3c说明

最终代码如下:firefox 下测试成功。alt+shift+X

<input type=”hidden” name=”filter.hotDescirbe”  value=”111cfnpx” accesskey=”X” onclick=location.href=”baidu.com”>

最后发现扫描器的状态变更成这样,瞬间蛋碎一地。@(吐血倒地)