【应用安全——XSS】DOM型XSS挖掘

最新推荐文章于 2024-09-27 06:00:00 发布
最新推荐文章于 2024-09-27 06:00:00 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: # 移动安全基础篇 # 移动安全高级篇

DOM-Based XSS是一种基于文档对象模型(Document Object Model,DOM)的Web前端漏洞,简单来说就是JavaScript代码缺陷造成的漏洞。与普通XSS不同的是,DOM XSS是在浏览器的解析中改变页面DOM树,且恶意代码并不在返回页面源码中回显,这使我们无法通过特征匹配来检测DOM XSS。

0x01 页面跳转

页面跳转中常用的三种方式:

1)302跳转

2)Meta标签跳转

3)通过JS跳转,使用location.href、location.replace()、location.assign()。

在页面跳转时,如果使用第三种方式跳转,那么就可以通过javascript伪协议执行JS脚本。
注意前两种跳转方式是无法执行的。
所以在页面跳转时针对跳转URL要做检测,否则就容易造成XSS。

例如:

<script type="text/javascript">

        var s=location.search;         

          s=s.substring(1,s.length);   

        var url="";                    

        if(s.indexOf("url=")>-1){       

          var pos=s.indexOf("url=")+4; 

          url=s.substring(pos,s.length);

           location.href = url;

        }  

</script>

http://192.168.192.120/1.html?url=javascript:alert(1)

正确的跳转URL检测正则如下:

^http(s)?://[\d\w\-\.]+\.(xxx)\.com($|\/|\\)

0x02 取值写入页面或动态执行

这里接受用户输入,并通过DOM操作写入到当前页面中或者动态执行,常见的有:

innerHTML

document.write

document.writeln

eval

Jquery html()

...

除了服务端可以输出变量到JS外,以下这些地方也有可能成为输入点:

1) inputs标签

2) window.location(href、hash、search等)

3) window.name

4) document.referrer

5) document.cookie

6) localstorage

7) SessionStorage

...

window.location具体例子:

<html>

<body>

    <script type="text/javascript">

        var s=location.search;         

          s=s.substring(1,s.length);   

        var url="";                    

        if(s.indexOf("url=")>-1){       

          var pos=s.indexOf("url=")+4; 

          url=s.substring(pos,s.length);

        }else{

          url="url参数为空";

        }

        //document.write("url: <a href='"+url+"'>"+url+"</a>");  //使用document.write输出

    </script>

</body>

</html>

访问http://192.168.192.120/1.html?url=<imf/src=x οnerrοr=alert(1)>触发

这里需要注意Location.search取出来的时候<、>在Chrome和Firefox下是经过URL编码的。而location.hash是不会URL编码的。

关于Window.name可以通过引入iframe来控制。例如:

2.html

<iframe name="<svg/onload=alert(1)>" src="1.html">

1.html

<html>

<head><title>Test</title></head>

<body>

         <div id="test"></div>

    <script type="text/javascript">

             document.getElementById("test").innerHTML = window.name;

    </script>

</body>

</html>

另外LocalStorage和SessionStorage是HTML5 提供了两种新的本地存储方案,统称WebStorage。

sessionStorage 是针对session的数据存储,关闭窗口后删除。

localStorage 是一个本地的没有时间限制的数据存储。

一些关于用户个性化的设置信息完全可以存储在localStorage中,打开页面的时候JS负责从本地存储中取出数据。这里比较鸡肋的是需要LocalStorage可控,即首先你要能够写入LocalStorage才行。一般需要配合其他的漏洞写入来实现持久化,类似于XSS Rootkit。

另外需要注意innerText和innerHTML区别,innerText的HTML便签不会解析,innerHTML的HTML标签会解析。

<html>

<head>

</head>

<body>

<div id='text'>test</div>

<div id='html'>html</div>

<script>

document.getElementById('text').innerText = "<img/src='x' onerror=alert(1)>";

document.getElementById('html').innerHTML = "<img/src='x' onerror=alert(1)>";

</script>

</body>

</html>

结果如下:

另外innerText取值时,尖括号会被还原出来,例如

<html>

<body>

<a href='http://www.baidu.com' id=1>&lt;script&gt;alert(1)&lt;/script&gt;</a>

</body>

</html>

Console下输出:

document.getElementById('1').innerText

"<script>alert(1)</script>"

document.getElementById('1').innerHTML

"&lt;script&gt;alert(1)&lt;/script&gt;"

innerText会将实体编码转回来。

在Jquery中html()和text()区别是text()同样会把转义后的<和>还原回来:

<html>

<head>

<script type="text/javascript" src="jquery-1.10.2.min.js"></script>

<script type="text/javascript">

$(document).ready(function(){

  $(".btn1").click(function(){

    alert($("#p").text());

  });

  $(".btn2").click(function(){

    alert($("#p").html());

  });

});

</script>

</head>

<body>

<div id='p'>&lt;script&gt;alert(1)&lt;/script&gt;</div>

<button class="btn1">text()测试</button></br>

<button class="btn2">html()测试</button>

</body>

</html>

点击btn1弹出:<script>alert(1)</script>

点击btn2弹出:&lt;script&gt;alert(1)&lt;/script&gt;

0x03 Jquery Dom XSS

jQuery低版本(1.9.0以下)存在DOM XSS漏洞

jQuery 是一个非常流行的JavaScript 库,但低版本的jQeury存在设计缺陷,导致引入低版本的jQuery文件之后,若对用户传入的参数值没有进行处理即传入$()函数中执行,且参数值中存在html标签,可导致DOM XSS版本漏洞。

<html>

<head>

<script src="http://libs.baidu.com/jquery/1.8.3/jquery.min.js"></script>

</head>

<body>

<script>

var url = location.href;

if (url.indexOf("#") > 0) {

         var a = url.substring(url.indexOf("#")+1);

         $("a[name='"+a+"']").show();

}

</script>

<a href="#" name="test">test</a>

</body>

</html>

访问http://192.168.192.120/1.html#<img/src=x οnerrοr=alert(1)>即可触发。

 

参考文章:

https://security.tencent.com/index.php/blog/msg/107

http://su.xmd5.org/static/drops/tips-689.html

http://www.91ri.org/5401.html

FLy_鹏程万里
关注
专栏目录
web渗透--47--基于DOMXSS跨站
武天旭的博客
09-22 1819
1、漏洞描述 文档对象模(Document Object Model),即DOM。是用来在浏览器中表示文件的结构格式。DOM支持动态脚本,诸如JavaScript来引用文档组件,如表单字段或会话cookie。DOM也用于浏览器的安全,例如限制在不同域的脚本获取其它域的cookie会话。当活动内容(如JavaScript函数)被特制的请求修改时,可能会出现基于DOMXSS漏洞,这样能够使得攻击者可以控制DOM元素。
jQuery Mobile漏洞会有跨站脚本攻击风险
12-11
概述 根据国外媒体的最新报道,谷歌公司的安全工程师Eduardo Vela在jQuery Mobile框架中发现了一个安全漏洞,这个漏洞将会让 所有使用了jQuery Mobile的网站暴露于跨站脚本攻击风险之下 。 jQuery Mobile项目(jQuery框架中的一个组件)是一个基于HTML5的开发框架,在它的帮助下,开发者可以设计出能够适配目前主流移动设备和桌面系统的响应式Web站点以及应用程序。实际上,jQuery Mobile不仅可以为主流移动平台提供jQuery的核心库,而且它也是一个较为完整统一的jQuery移动UI框架。根据jQuery开发团队的介绍,目前全球范围内大约有十五
XSS | DOM XSS 攻击
最新发布
Blue17 の 小窝
09-27 1438
在网站页面中有许多元素,当页面到达浏览器,浏览器会为页面创建一个顶级的 Document object 文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。DOM XSS 程序只有 HTML 代码,并不存在服务器端代码,所以此程序并没有与服务器端进行交互,是一个纯粹的运行在客户端的 JavaScript 脚本代码触发的 XSS 漏洞。标签中是没有任何内容的,这符合了我们上面讲的 DOM XSS,后端返回的数据包中不包含 XSS 攻击代码的特点。
JQuery跨站脚本漏洞
热门推荐
谢公子的博客
05-04 2万+
原理: jQuery中过滤用户输入数据所使用的正则表达式存在缺陷,可能导致 location.hash 跨站漏洞 影响版本: jquery-1.7.1~1.8.3 jquery-1.6.min.js,jquery-1.6.1.min.js,jquery-1.6.2.min.js jquery-1.5所有版本 jquery-1.4所有版本 ...
Jquery-1.8.3中的BUG
wttyzy的专栏
02-02 4767
ie和firefox一直遇到这个问题 ---------------------------------------------------------------------------------- |   typeError:elem.nodeName.toLowerCase is not a function  | -------------------------------
验证码
wang725的专栏
07-30 1087
//产生验证码的servletpackage cn.itcast.response; import java.awt.Color; import java.awt.Font; import java.awt.Graphics; import java.awt.Graphics2D; import java.awt.image.BufferedImage; import java.io.IOExc
XSS漏洞 DOM测试 payload代码
02-26
XSS漏洞 DOM测试 payload代码 这是测试跨脚本攻击是否有DOMXSS的漏洞,适合网络安全初学者进行测试。 跨脚本攻击漏洞是top10的一种。
Web应用安全DOMXSS.pptx
06-18
总结,DOMXSS是一种对Web应用安全构成威胁的漏洞,其核心在于客户端JavaScript对DOM的不安全操作。理解和防范DOMXSS对于保障用户数据安全和提高网站的可靠性至关重要。开发者应当遵循安全编码原则,进行输入验证...
网络安全 - Web 安全攻防 - DOM XSS 实验包 - DOMBasedXSSLab.zip
09-22
- **实验环境**:提供模拟 DOM XSS 漏洞的 Web 应用程序,允许用户在一个安全和受控的环境中进行实验。 - **操作指南**:包含详细的实验步骤和指导,帮助用户理解 DOM XSS 的原理和利用方法。 - **防御策略**...
XSS漏洞挖掘安全防护.pdf
08-08
XSS攻击有多种形式,包括反射(存储DOM)。XSS通常通过网站或网页的漏洞来实现,攻击者会在其中注入恶意脚本代码,当其他用户浏览该网页时,脚本就会执行。 在XSS攻击中,攻击者一般会在输入字段、URL参数...
jquery-1.8.2.min.js
10-27
该版本主要修复之前两个版本中的一些bug和性能衰退问题,包括: Deferred:当typeof( target)=='object'时,Deferred.promise( target)才能正常工作 Event:使用委托事件和伪类时的性能衰退问题 Misc:修复了一些兼容问题,并进行了优化 Offset:在BlackBerry5和iOS3上使用会抛出一个错误 修复了选择器的多个bug
Web应用安全DOMXSS习题(实验习题).docx
06-17
### Web应用安全:深入解析DOMXSS及其攻击原理 #### DOMXSS概述 **DOMXSS**(Document Object Model Cross-Site Scripting),是跨站脚本攻击(Cross-Site Scripting, XSS)的一种类。与反射XSS和存储...
【网络安全知识体系】外网渗透测试 | 14个小实验
04-18 1万+
【通俗易懂】外网渗透测试的流程&14个小实验带你了解网络安全
jQuery框架漏洞全总结及开发建议
iokla
10-02 1万+
一、jQuery简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 据一项调查报告,在对433,000个网站的分析中发现,77%的网站至少使用了一个具有已知安全漏洞的前端JavaScript库,而jQuery位列榜首,而且远远超过其他库。但事实上这些库有可用的不
domxss ---(waf绕过)
m0_63306943的博客
04-05 1498
DOM 是文档对象化模(Document Object Model)的简称。DOM Tree 是指通过 DOM 将 HTML 页面进行解析,并生成的 HTML tree 树状结构和对应访问方法。借助DOM Tree,我们能直接而且简易的操作HTML页面上的每个标记内容DOM技术被Internet Explorer 5.0及以上版本的浏览器所支持,它采取一种非常直观且一致的方式将HTML文档进行模化处理,并借此提供访问、导航和操作页面的简易编程接口。
XSS漏洞学习笔记
qi_SJQ_的博客
12-31 2692
xss学习笔记
升级Jquery版本,解决低版本安全漏洞
weixin_45394033的博客
10-21 8400
Jquery 低版本存在安全漏洞,所以需要升级版本记录 jQuery 1.12.3 升级到 v3.x。
jQuery学习笔记01
m0_37301141的博客
07-06 397
1:使用js的缺点1.代码比较麻烦,需要遍历,可能还需要嵌套 2.找对象比较麻烦,还长 3.会有兼容性问题,低版本火狐浏览器不支持innerText,支持textContent 4.想要实现简单的动画,需要animate 5.js注册事件会被覆盖 需要用addEventListener(有兼容性)例子:DIV动态展示与设置内容<!DOCTYPE html> <html> <head>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值