XSS (DOM)型

最新推荐文章于 2023-06-26 19:15:04 发布
最新推荐文章于 2023-06-26 19:15:04 发布
阅读量199 收藏
点赞数
分类专栏: dvwa 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kukudeshuo/article/details/114373940
版权

dwva之XSS (DOM)

Security Level: low

查看源代码,没有进行任何保护

本意是让我选择语言,这里我们在default后面构造语句

我们查看源码,可以看到,我们的脚本插入到代码中了,所以执行了

Security Level: medium

查看源代码,利用黑名单过滤了script标签,并且不区分大小写,这里使用img标签绕过


这里并没有弹窗,我们利用开发者工具去看,发现我们的语句被插入到了value值中,但是并没有插入到option标签的值中,所以img标签并没有发起任何作用

然后我们去闭合标签

依然没有弹窗,我们继续利用开发者工具查看,发现我们的语句中只有 > 被插入到了option标签的值中,因为闭合了option标签,所以img标签并没有插入

我们继续闭合标签,还是没有弹窗,但是语句已经插入在里面了,我们换一种url试试

Security Level: high

查看源代码可知,High级别的代码用了一个switch表使我们只能提交规定的内容,但是#注释符可以让服务器端无视#后面的代码从而绕过检测

Security Level: impossible

查看源代码可知,意思是不需要做任何事,保护在客户端处理,所以不存在xss漏洞了

super 硕
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
XSS(DOM)
kid的博客
05-05 4158
XSS(DOM) 前言 讲道理,现在我对XSS(DOM)的原理还是很迷啊,不看下js和前端的知识感觉还是很迷,不是很懂。 但是我觉得练习还是可以做的,因为看过一些大佬的文章后,感觉有成为脚本小子的能力了… XSS的原理分析与解剖(第二篇) 这篇文章前面xss反射的时候就引用过,里面有一段介绍xss dom的,我感觉原理说的也不是很清楚,但看了它的例子后大概知道怎么去搞了… 练习 Low 这里G...
DOMXSS1
08-08
DOMXSS DOMXSS(Document Object Model-based Cross-Site Scripting)是指攻击者通过inject恶意脚本到网页中,从而影响用户的隐私和安全的一种攻击方式。下面是对DOMXSS的详细解释和分析: 什么是DOMXSS?...
XSS注入——DOMXSS
wwwwyyyrre的博客
06-26 4682
XSS根据恶意脚本的传递方式可以分为3种,分别为反射、存储DOM,前面两种恶意脚本都会经过服务器端然后返回给客户端,相对DOM来说比较好检测与防御,而DOM不用将恶意脚本传输到服务器在返回客户端,这就是DOM和反射、存储的区别DOMxss可以在前端通过js渲染来完成数据的交互,达到插入数据造成xss脚本攻击,且不经过服务器,所以即使抓包无无法抓取到这里的流量。它是基于DoM文档对象的一种漏洞,并且DOMXSS是基于JS上的,并不需要与服务器进行交互。
xssDOM
xu_1234567的博客
11-04 6501
1.DOMxss原理 dom就是一个树状的模,你可以编写Javascript代码根据dom一层一层的节点,去遍历/获取/修改对应的节点,对象,值。了解了这么一个知识点,你就会发现,其实dom xss并不复杂,他也属于反射xss的一种(domxss取决于输出位置,并不取决于输出环境,因此domxss既有可能是反射的,也有可能是存储的),简单去理解就是因为他输出点在DOMdom - xss是通过url传入参数去控制触发的)分析完dom-xss之后,再说说存储xss,其实也很好理解,存储xss
关于DOMXSS的深入解析(收藏)
热门推荐
告白的博客
01-11 1万+
很多初次接触xss的小白,尽管知道xss的三种分类,但是在DOMxss还是存在理解上的不足,这篇文章希望能帮助到更好的理解DOMxss
XSS注入进阶练习篇(二)DOMXSS注入深入
好好睡觉
02-19 2733
DOMXSS,SVG绕过WAF、DOM 破坏
XSS漏洞 DOM测试 payload代码
02-26
XSS漏洞 DOM测试 payload代码 这是测试跨脚本攻击是否有DOMXSS的漏洞,适合网络安全初学者进行测试。 跨脚本攻击漏洞是top10的一种。
反射xss攻击流量数据包
07-18
反射xss攻击流量数据包
Web应用安全:DOMXSS.pptx
06-18
DOMXSS 4 DOMXSS防御 3 DOMXSS原理分析 2 DOMXSS简介 1 DOM 5 反射与存储DOM的对比 6 DOMXSS攻击流程 目录 DOM DOM 是 Document Object Model(文档对象模)的缩写 DOM 是 W3C(万维网联盟)的...
springboot整合XSS
03-20
DOMXSS则利用了JavaScript对DOM(Document Object Model)的动态操作,恶意脚本可能在页面加载过程中执行。 二、Spring Security与XSS防护 Spring Security是Spring Boot推荐的安全管理框架,它提供了一套完整的...
3-4DomXSS详解以及演示
山兔的博客
04-21 3480
学习DOMXSS前,先搞清楚什么是DOM 通过 JavaScript,可以重构整个 HTML 文档。您可以添加、移除、改变或重排页面上的项目。 要改变页面的某个东西,JavaScript 就需要获得对HTML 文档中所有元素进行访问的入口。这个入口,连同对 HTML 元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模来获得的(DOM)。 所以,你可以把DOM理解为一个可以访问HTML的标准编程接口。 举个栗子来理解一下DOM <html><head> <sc
第七周作业 1.domXSS详解及演示 2.cookie获取及xss后台使用 3.反射XSS(POST) 4.xss钓鱼演示 5.xss获取键盘记录演示
weixin_43899561的博客
04-21 1865
1.domXSS详解及演示 一、什么是DOM?怎么理解DOM? DOM全称是Document Object Model,也就是文档对象模。我们可以将DOM理解为,一个与系统平台和编程语言无关的接口,程序和脚本可以通过这个接口动态地访问和修改文档内容、结构和样式。当创建好一个页面并加载到浏览器时,DOM就悄然而生,它会把网页文档转换为一个文档对象,主要功能是处理网页内容。故可以使用 Javasc...
网络安全之从原理看懂XSS
Galaxy_0的博客
01-18 1466
网络安全之从原理看懂XSS
domxss ---(waf绕过
m0_63306943的博客
04-05 1222
DOM 是文档对象化模(Document Object Model)的简称。DOM Tree 是指通过 DOM 将 HTML 页面进行解析,并生成的 HTML tree 树状结构和对应访问方法。借助DOM Tree,我们能直接而且简易的操作HTML页面上的每个标记内容DOM技术被Internet Explorer 5.0及以上版本的浏览器所支持,它采取一种非常直观且一致的方式将HTML文档进行模化处理,并借此提供访问、导航和操作页面的简易编程接口。
[网络安全]DVWA之XSS(DOM)攻击姿势及解题详析合集
等风来
05-16 1万+
源代码未进行任何过滤复选框中的内容为可变参数:这段 PHP 代码主要是用于处理 GET 请求中的 default 参数,它包含了以下几个功能: 1.判断是否有 default 参数:通过 array_key_exists() 函数来判断 $_GET 超级全局变量中是否存在名为 default 的键,如果存在并且不为 null,则将其赋值给 $default 变量。 2.防止 XSS 攻击:使用 stripos() 函数查找 $default 中是否包含
xss原理及利用
MAPLE102424的博客
05-12 1376
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。当别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
【DVWA系列】十、XSS(DOM) 基于DOMXSS(源码分析&漏洞利用)
Pluto.的博客
03-12 1425
文章目录DVWAXSS(DOM) 基于DOM的跨站脚本攻击一、Low 级别二、Medium 级别三、High 级别四、Impossible 级别 DVWA XSS(DOM) 基于DOM的跨站脚本攻击 一、Low 级别 没有任何的安全保护措施 下拉框选择语言提交后,在url栏中的default参数直接显示: 构造XSS代码,修改参数,成功执行脚本: ?default=<script>alert('/xss/')</script> 查看网页源代码,脚本插入到代码中,所以执行了
DOMXSS
qq_45300786的博客
08-20 4127
可以通过document来获取有些信息。
漏洞篇之DOMxss
weixin_46446401的博客
03-03 8231
介绍了domxss的原理和特点,并讲解了pikachu这个靶场的例子
哪那种类xss危害最大 存储xss 反射xss DOMxss 危害一样大
最新发布
06-25
尽管反射XSSDOMXSS的危害相对较小,因为它们依赖于用户的直接行动,但存储XSS的危害最大,因为它具有长期性和自动性的特点,对网站用户构成更大的威胁。所以,防范存储XSS通常被视为网站安全的重要部分。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

super 硕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值