DVWA关卡10:DOM Based Cross Site Scripting (XSS)(DOM型XSS)

最新推荐文章于 2023-10-27 21:33:42 发布
最新推荐文章于 2023-10-27 21:33:42 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: DVWA渗透测试靶场 文章标签: web安全 安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54899775/article/details/121802921
版权
本文深入探讨DOM Based Cross Site Scripting (DOM XSS),介绍了不同级别的漏洞实例,包括如何利用和防御。通过Low、Medium、High及Impossible四个等级的示例,展示了DOM型XSS的攻击原理,强调了正确处理用户输入和防止脚本注入的重要性。
摘要由CSDN通过智能技术生成

目录

Low

Medium

 High

 Impossible

DOM(document object model文档对象模型),客户端脚本处理逻辑导致的安全问题。基于DOM的XSS漏洞是指受害者端的网页脚本在修改本地页面DOM环境时未进行合理的处置,而使得攻击脚本被执行。在整个攻击过程中,服务器响应的页面并没有发生变化,引起客户端脚本执行结果差异的原因是对本地DOM的恶意篡改利用。
DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml等函数动态生成html页面,如果这些函数在引用某些变量时没有进行过滤或检查,就会产生DOM型的XSS。DOM型XSS可能是存储型,也有可能是反射型。

Low

 源码:

<?php

# No protections, anything goes

?>

没有对参数default做任何防护。

在XSS-DOM型页面选English,点提交:

然后在加载的url中把 English 换成 <script>alert(XSS)</script> ,点击回车键 ,成功弹窗:

最低0.47元/天 解锁文章
景天zy
关注
专栏目录
代码审计——DVWA DOM Based Cross Site Scripting (XSS) DOMXSS
z1756227332的博客
03-13 1170
关于三种XSS的流程 DOM 代码 -> 浏览器(js) 反射性 代码 -> 浏览器 ->php -> 浏览器 存储性 代码->浏览器->PHP->数据库->php->浏览器 Low等级代码 <?php 这个意思就是没有过滤 输入什么就会输出什么。 # No protections, anything goes 没有保护,什么都...
DVWADOM Based Cross Site Scripting (XSS)
baynk的博客
10-29 1878
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ xss主...
DVWA-DOM Based Cross Site Scripting (XSS)
Cwillchris的博客
10-28 937
实验环境: DVWA靶机:172.16.12.10 靶场用户名:admin 密码:123 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: DOMbased XSS漏洞是基于文档对象模Document Objeet Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如uRI,locatio
DVWA 黑客攻防演练(十二) DOM XSS 攻击 DOM Based Cross Site Scripting
weixin_30786617的博客
12-28 329
反射攻击那篇提及到,如何是“数据是否保存在服务器端”来区分,DOM XSS 攻击应该算是 反射XSS 攻击。 DOM 攻击的特殊之处在于它是利用 JS 的 document.write 、document.innerHTML 等函数进行 “HTML注入” 下面一起来探讨一下吧。 初级 这是一个普通的选择器。 选择了 English 之后是这个样式的 但打开调试器,看到的这段 JS 代...
DOM Based Cross Site Scripting
cnbird's blog
01-12 4612
DOM Based Cross Site Scripting
DVWA关卡11:Reflected Cross Site Scripting (XSS)(反射XSS
m0_54899775的博客
12-12 1059
DVWA关卡11:Reflected Cross Site Scripting (XSS)(反射XSS
DVWA V1.9:Reflected Cross Site Scripting(反射XSS
qq_43233085的博客
01-27 560
DVWA V1.9:Reflected Cross Site Scripting(反射XSS)反射 XSS 介绍Low 级别核心代码官方提示漏洞利用Medium 级别核心代码官方提示漏洞利用High 级别核心代码官方提示漏洞利用Impossible 级别核心代码官方提示 反射 XSS 介绍 “跨站点脚本(XSS)”攻击是一种注入问题,其中恶意脚本被注入到其他良性的和可信的网站中。 当攻击者使...
DVWA V1.9:Reflected Cross Site Scripting(存储XSS
qq_43233085的博客
01-27 449
DVWA V1.9:Reflected Cross Site Scripting(存储XSS)存储 XSS 介绍Low 级别核心代码官方提示漏洞利用Medium 级别核心代码官方提示漏洞利用High 级别核心代码官方提示漏洞利用Impossible 级别核心代码官方提示 存储 XSS 介绍 “跨站点脚本(XSS)”攻击是一种注入问题,其中恶意脚本被注入到其他良性的和可信的网站中。 当攻击者使...
(原创)攻击方式学习之(1) - 跨站式脚本(Cross-Site Scripting)
weixin_34032621的博客
09-06 437
声明:本文仅供学习研究之用,对于本文提到的某些网站的XSS漏洞,请读者发扬高尚的人道主义精神不要去危害他人,同时希望相应的网站能够尽快修补XSS漏洞。 简介 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 使用过ASP的同...
DVWA —— DOM Based Cross Site Scripting (DOM XSS)
YouTheFreedom的博客
05-25 351
DOM是特殊的反射XSS 在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说,客户端的脚本程序可以通过DOM来动态修改页面内容,从客户端获取DOM中的数据并在本地执行。基于这个特性,就可以利用JS脚本来实现XSS漏洞的利用。
DOM Based Cross Site Scripting (XSS)
angry_program的博客
02-09 2876
前言 DOM(document object model文档对象模),客户端脚本处理逻辑导致的安全问题。基于DOMXSS漏洞是指受害者端的网页脚本在修改本地页面DOM环境时未进行合理的处置,而使得攻击脚本被执行。在整个攻击过程中,服务器响应的页面并没有发生变化,引起客户端脚本执行结果差异的原因是对本地DOM的恶意篡改利用。DOMXSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的...
DOM Based Cross Site Scripting or XSS of the Third Kind
kezhen的专栏
04-09 2115
Summary We all know what Cross Site Scripting (XSS) is, right? It’s that vulnerability wherein one sends malicious data (typically HTML stuff with Javascript code in it) that is echoed back later by
DOM based XSS
风口的猪2016
05-19 1229
Insert title here function test(){ var src = document.getElementById("text").value; document.getElementById("a").innerHTML = " testLink "; } 1.构造一个新事件: 文本框中输入 ' onclick=alert('xss'
DVWAXss跨站脚本攻击(DOM
AZK707的博客
03-17 1291
目录 DOM 一、初级 二、中级 三、高级 DOM 一、初级 1. DOMxss与前两个xss不同,在于没有可以用户输入的位置了,只有下拉菜单可以选择。当我们提交选项后,发现URL有显示,所以我们就通过URL拼接恶意代码 2. 1)方法一:将default后的English替换掉 <script>alert('zky50_test01')</script> 2)方法二: </option></sele...
DVWA DOM Based Cross Site Scripting (XSS)
最新发布
2201_75843485的博客
10-27 99
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS 攻击指黑客通过特殊的手段往网页中插入了恶意的 JavaScript 脚本,从而在用户浏览网页时,对用户浏览器发起 Cookie 资料窃取、会话劫持、钓鱼欺骗等各攻击。XSS 跨站脚本攻击本身对 Web 服务器没有直接危害,它借助网站进行传播,使网站的大量用户受到攻击。
DVWAXSS-----------------high+各级别总结
qq_43665434的博客
02-21 594
DVWAXSS-----------------high+各级别总结 1、Reflected 输入测试语句 查看网页源码: 尝试<script>alert(/xss/)</script>,以及其大小写混合、拼凑版本均不成功。 尝试其他标签绕过成功: <img src=1 onerror=alert(/xss/)> <svg onload=alert(/xss/)> 源码分析: preg_replace()函数正则匹配参数中的<script并替换
DVWA靶场通关(XSS
m0_56010012的博客
03-22 9222
XSS漏洞 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,缩写:CSS)混淆,所以架构跨站脚本攻击缩写为XSSXSS就是攻击者在web页面插入恶意的Script代码,当用户浏览该页面时,嵌入其中的js代码会被执行,从而达到恶意攻击的目的。某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚
【白帽子学习笔记】XSS和SQL注入
python_LC_nohtyp的博客
11-17 1818
【白帽子学习笔记】XSS和SQL注入 yysy姚总布置的实验报告越来越难写了,菜菜的我要写好久,┭┮﹏┭┮ 文章目录【白帽子学习笔记】XSS和SQL注入0x01 实验知识点1x01 什么是XSS?1x02 什么是Cookie?1x03 XSS漏洞的分类1x04 SQL注入攻击0x02 XSS部分:Beef1x01 搭建GuestBook网站1x02 AWVS扫描1x03 Kail中使用Beef生成恶意代码1x04 XSS注入漏洞2x01 XSS劫持网站2x02 劫持浏览器指定被劫持网站为学校主
DVWA靶场深度解析:XSS攻击DOM、反射、存储实战
Web安全领域,XSS(Cross-Site Scripting)攻击是一种常见的安全漏洞,它允许攻击者向网页注入恶意脚本,进而影响用户浏览器的行为。DVWA靶场是一个专门设计用于安全教育和测试的平台,提供了各种安全漏洞的模拟场景...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值