Jquery $() DOM XSS

Discussion in 'Этичный хакинг или пентестинг' started by apexis, 16 Feb 2021.

  1. apexis

    apexis New Member

    Joined:
    16 Feb 2021
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Привет, изучаю кибербезопасность. Часто попадаются уязвимости которые суют часть url в $(). Я знаю что $(payload).somemethod() c payload "<video><source/onerror=alert(1)>" точно сработает. Но почти всегда попадается $() который складывается из частей:

    var hash=window.location.hash;
    $(".menu a[href='/"+hash+"/']").addClass("active")

    Это можно довести до XSS?
     
  2. tarasov2000

    tarasov2000 New Member

    Joined:
    9 Jun 2021
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Судя по порядку экранирования кавычек, оно не заработает вообще