DOM XSS案例总结

原创 2015年07月09日 14:38:39

1.JS输出部分在页面中可见

<div id="d1"> Ni Hao </div>
<script>
document.getElementById("d1").innerHTML="<img src=1 onerror=alert(1)>"
</script>

这样ID为d1的标签中的内容就变为了:
其中<>和空格可以用JSUnicode||JS Hex 16||JS Hex 8 多种方法替换。替换前确保“\”没有被过滤

Dom Xss入门 [显式输出]

DOM XSS的原理与防护

前言 首先这里为什么要讨论DOM XSS而不是比较常见的反射型XSS和存储型XSS,因为基于DOM XSS原理和利用场景,服务端过滤及客户端转义的防护手段并不能完全适用于DOM XSS。 DOM ...
  • cavalier_anyue
  • cavalier_anyue
  • 2016年04月07日 21:35
  • 1816

关于DOM型XSS漏洞的学习笔记

DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOM型XSS其实是一种特殊类型的反射型XSS,它是...
  • SKI_12
  • SKI_12
  • 2017年03月05日 16:14
  • 6384

有关DOM XSS的一点思考

前段时间发现了某站的一个DOM XSS漏洞,发到补天说无法复现,我开始琢磨其中的问题。我们首先大致还原一下场景:例子一: xss test ...
  • yanghuan313
  • yanghuan313
  • 2016年08月30日 21:26
  • 474

DOM-based XSS 与 存储性XSS、反射型XSS有什么区别?

http://www.zhihu.com/question/26628342 单单解释三者的区别,似乎有点单调。说到xss,就必须要提一提js,脱离了js去谈xss都是耍流氓! 1,)先来...
  • xysoul
  • xysoul
  • 2015年05月26日 20:20
  • 2244

XSS跨站脚本攻击入门实例--DVWA

一、窃取Cookie       对于跨站的攻击方法,使用最多的莫过于cookie窃取了,获取cookie后直接借助“Live http headers、Tamper Data、Gressmonke...
  • chengfangang
  • chengfangang
  • 2015年03月03日 10:18
  • 2098

【xss】dvwa平台下的实战

课堂上要求学生自由组队准备一个安全相关的主题讲解,于是会兴冲冲的找到学霸想抱大腿。最近应大腿的需求,决定要补充ppt一部分内容以掩盖我们打酱油的真面目,大胖这里是学霸的外号的意思是一个酱油的技术点太酱...
  • Nightsay
  • Nightsay
  • 2015年05月19日 00:29
  • 2612

跨站的艺术-XSS Fuzzing 的技巧

对于XSS的漏洞挖掘过程,其实就是一个使用Payload不断测试和调整再测试的过程,这个过程我们把它叫做Fuzzing;同样是Fuzzing,有些人挖洞比较高效,有些人却不那么容易挖出漏洞,除了掌握的...
  • Qcloud_KID
  • Qcloud_KID
  • 2017年03月26日 19:43
  • 218

存储型XSS与反射型XSS有什么区别?

存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造...
  • psiitoy
  • psiitoy
  • 2014年10月24日 14:32
  • 2512

js基础学习之--DOM总结

DOM总结 JavaScript组成部分以及关系图     DOM概念 : DOM是文档对象模型(Document Object Model)的简称,它的基本思想是把结构化文档...
  • b1244154318
  • b1244154318
  • 2016年07月23日 00:35
  • 331

xss其他标签下的js用法总结大全

xss其他标签下的js用法总结大全 https://www.91ri.org/16155.html 前段时间我遇到一个问题,就是说普通的平台获取cookie的语句为 实际上我们的测试语句可能...
  • binggoogle
  • binggoogle
  • 2016年07月25日 13:24
  • 3193
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:DOM XSS案例总结
举报原因:
原因补充:

(最多只允许输入30个字)