DOM XSS: alert to win!
 

http://escape.alf.nu/

Задача: вылезти за JS контекст и вызвать alert(1)
15 упражнений (+1 или более секретных, уже не помню)

Давно уже проходил... позволило мне по-настоящему глубоко разобраться в DOM XSS. Советую проходить самостоятельно и не искать ответы, которые найти не так сложно. Кроме последних заданий. Видимо совсем сложны для обывателей :)

Рекомендую. Domxss хороши тем, что не палятся ни сервером, ни браузером. Кому интересна тема, советую заодно посмотреть на dominator --- плагин для firefox для динамического поиска domxss. Для бурпа тоже есть какие-то плагины, но статические: замучаешься отделять false positives.

I am new to DOM XSS. Any good writeup on DOM XSS? THANKS

https://www.owasp.org/index.php/DOM_Based_XSS