Dom Xss挖掘思路

最新推荐文章于 2023-05-26 15:49:06 发布
最新推荐文章于 2023-05-26 15:49:06 发布
阅读量766 收藏 3
点赞数
分类专栏: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43936524/article/details/114832877
版权

文章目录


原文:
https://www.secpulse.com/archives/92286.html

常见场景

url带入页面

// url获得用户输入
var r = window.location.search.substr(1).match(reg);
// 将输入写入界面
document.getElementById('foo').innerHTML = getUrlParam('foo')

跳转类

location.href = urlparams.redirecturl;

这样的跳转通常会出现在登录页、退出页、中间页。

如果开发者让用户可以控制 redirecturl 参数,就可以使用 javascript:alert(1) 的形式进行XSS攻击。

最近几年的APP开发比较热门,通过web唤起APP的操作也是越来越多,跳转的协议也是多种多样,例如 webview:// , myappbridge:// 等等。 仅仅使用 http 和 https 来判断URL是否合法已经不适用了,于是由跳转所产生的DOM-XSS漏洞也逐渐增多。

缓存类

开发者在缓存前端数据的时候,通常会存在 sessionStorage , localStorage , cookie 中,因为 sessionStorage 在页面刷新时就失效的特性,利用方式相对简单的只有后面两种。
一旦我们发现在 http://example.com/setCookie.php?key=username&value=password 下可以设置Cookie,就可以结合一些读取Cookie的页面进行XSS攻击。

function getCookie(name) {   
    var arr = document.cookie.match(new RegExp("(^|; )" +name + "=([^;]*)(;|$)"));    
    if (arr != null) 
        return unescape(arr[2]);    
    return null; 
}

localStorage 的特性和Cookie类似,但它和Cookie不同的是,Cookie被设置过之后,具有有效期这个特性,而localStorage被设置过后,只要不手动清除或覆盖,这个值永远不会消失。 Cookie中通常会存放少量的缓存信息,像用户的头像URL,用户名等等,而localStorage中通常会存放一些大量,需要重复加载的数据,如搜索历史记录,缓存JS代码等等。

这些值被修改过以后,大部分开发者都不会去校验它的合法性,是否被修改过。

postMessage

postMessage 可以跨域使用,使用场景比较广泛,如支付成功的回调页面。

window.addEventListener("message", function (e) { eval(e.data); })

这段代码中,监听了message事件,取了 e.data 的值,也就是来自于其他页面上的message消息,但是没有检测来源。如果页面允许被嵌套,即可嵌套该页面,再使用 window[0].postMessage 即可向该窗口发送数据。

window.name

window.name 与其他 window 对象不同,它在窗口刷新后会保留。

<iframe src="example.com" name="Foo"></iframe>

当这个页面刷新跳转到其他网站时,如果这个网站没有对 window.name 进行设置,那么当前window.name的值仍然是Foo

Dom XSS优势

一、避开WAF

正如我们开头讲的第一种DOM-XSS,可以通过 location.hash 的方式,将参数写在 # 号后,既能让JS读取到该参数,又不让该参数传入到服务器,从而避免了WAF的检测。

我们可以使用 ja%0avasc%0aript:alert(1) , jx61vascript:alert(1) 的形式绕过

可以利用 postMessage,window.name,localStorage 等攻击点进行XSS攻击的,攻击代码不会经过WAF。

二、长度不限

当我们可以用当前页面的变量名作为参数时,可以使用 <iframe src="http://example.com/?poc=name">的方式进行攻击。

三、隐蔽性强

攻击代码可以具有隐蔽性,持久性。例如使用Cookie和localStorage作为攻击点的DOM-XSS,非常难以察觉,且持续的时间长。

防御手段

1.对于写标签类的DOM型XSS,输出到HTML中例如

document.getEelementById(“id”) = innerHTML = "<img src=x onerror=alert(1)>"只需要将<>实体化即可,将<>替换成<>

2.对于跳转类的XSS,例如

location.href = "javascript:alert(1)"有一个简单的方法,就是将这个url创建成一个a标签,检查它的host是否合法,是否以http或指定的协议开头,否则视为非法跳转。

3.对于eval(string)类的XSS

不建议使用这种写法,一个负责的开发不应该写这种代码出来。

如果实在要用,需要过滤非常多的字符,双引号,单引号,反引号,等于号,小括号,点,加减乘除,和一些特殊的字符,例如name,top,parent,opener等等(以上列出不完全)

kit_1
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5613
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
DOMXSS挖掘小记
weixin_30267697的博客
08-11 348
本人单身狗一枚,这里要强调一下,我是哈士奇这种单身贵族,好了,进入正题 长夜漫漫,在这无聊的夜里,我打开了某个小网站准备看几部爱情动作片然后睡觉 当我打开影片搜索网页时,突然想起可以挖掘一下XSS或者是搜索注入来玩玩 先直接插入<script>alert(1)</script>来测试一下: 发现搜索关键词输出的时候已经过滤了我们的关键词,GG,第一次测试失败 ...
记一次失败的DOMXSS挖掘
shy的博客
04-04 395
如果当时我们说了再见,后来是不是就可以再见。 ——《昨日青空》 不知不觉换了新工作已经三个月了,这三个月从一开始反差极大造成的极度不适应到如今的渐渐适应,果然时间是最强大的工具,尽管这个工作依旧不那么适合我,但是我已经不那么反感了,人不能总待在舒适圈,经历的多了才会更强大,更有力量去保护自己想要保护的人。 个人DOMXSS挖掘方法: 1,首先找到js输出的方式,有以下4种: 使用window.alert()弹出警告框。 使用document.write()方法将内容写到 HTML 文...
DOM XSS链污染漏洞挖掘
Ba1_Ma0的博客
04-16 770
DOM XSS链污染漏洞挖掘
xss挖掘初上手
xiaoi123的博客
12-07 301
  本文主要总结了xss可能出现的场景。 偏向于案例,最后分享一哈简单的绕过和比较好用的标签。   1.搜索框 首先看能否闭合前面的标签。 如输入111”&gt;&lt;svg/onload=alert(1)&gt; 查看源码是否将前面标签闭合,可闭合的话可触发xss 如过无法闭合时,用事件来触发xss. 输入1111”&gt;&lt;svg/onload=alert(1)&gt;,F1...
JQuery Dom XSS探测.html
05-15
可以直接测试网站里面的JQuery本地弹窗xss,属于渗透测试项一部分,此项目在xss中也属于高危,只需要替换里面的带测试链接即可。
第一节 自动化xss挖掘介绍-01
最新发布
09-15
自动化XSS挖掘工具xsser详解 自动化XSS挖掘工具xsser是用于自动化Web应用程序漏洞挖掘、利用和报告的框架,以下是对xsser工具的详细介绍。 xsser工具介绍 xsser是一款功能强大且灵活的自动化XSS挖掘工具,旨在...
DOM-XSS漏洞的挖掘与攻击面延伸.pptx
10-15
DOM-XSS 漏洞的挖掘与攻击面延伸技术创新 DOM-XSS 漏洞是一种常见的安全漏洞,它可以导致攻击者inject恶意脚本,获取敏感信息,从而危害用户的安全。下面是 DOM-XSS 漏洞的挖掘与攻击面延伸技术创新知识点: 1. ...
XSS实战挖掘反射存储下dom漏洞(Pikachu)自用
PurEandPure
05-26 199
1,判断<>是否被过滤,输入<,>发现没有被过滤,2.输入<h5>x</h5>发现被过滤了,所以我们直接插入恶意代码3.在插入恶意代码时发现有长度被限制,修改网页属性4.发现反射性XSS漏洞,URL为图,将URL缩减为短网址,用作钓鱼。
DOM Invader | DOMXSS挖掘助手
weujie
01-24 1483
DOM InvaderDom XSS在不借助awvs这类强大的扫描器难寻踪迹,Dom Invader可以帮助测试人员很容易的基于前端调试在堆栈中发现蛛丝马迹。Dom Invader会自动识别页面所有可控的Source(源)和Sink(汇)并将Canary(金丝雀)注入后按照危害程度进行高到低排序,当然也并不是百分百存在漏洞,例如:以下图片(挖到当我没说????),当然师傅们真挖到    了别忘了我????如何启用 DOM Invader从Burp 2021.7版本开始自带浏览器中集成了
Web安全系列(三):XSS 攻击进阶(挖掘漏洞)
Galaxy_0的博客
01-18 406
Web安全系列(三):XSS 攻击进阶(挖掘漏洞)
手把手教你XSS漏洞常见类挖掘方法
tangshuangsss的专栏
12-03 4780
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介本篇文章将讲解XSS三大类中一些细小分类漏洞挖掘方法和漏洞形成原理说明,附源码分析。将展示以下类...
ocx控件 postmessage消息会消失_从postMessage跨域通信中发现的Facebook DOM XSS
weixin_39775029的博客
11-20 163
第一个bug允许恶意用户通过postMessage方法从facebook发送XSS跨域攻击。存在bug的页面将接受用户构造的请求参数,并使用提供的数据构造一个对象,该对象将与postMessage一起发送到已打开的窗口。然后,又发现了另一个bug,并与前一个bug相关联,这个bug是通过Eventlistener接收到的表单提交数据,它可以被构造成一个不安全的脚本。1) 通过postM...
xss场景与挖掘思路
qq_41631096的博客
10-25 453
xss场景与挖掘思路 xss分类 存储 反射
漏洞挖掘XSS
Anakin6174的博客
03-01 5641
XSS介绍 XSS即跨站脚本攻击,是OWASP TOP10之一。它的全称为Cross-site scripting,之所以缩写为XSS是因为CSS这个简称已经被占用了。 XSS攻击的原理为,浏览器将用户输入的恶意内容当做脚本去执行,从而导致了恶意功能的执行,这种针对用户浏览器的攻击即跨站脚本攻击。它的攻击方式可以分为三种类:反射、存储DOM。 1 反射 当应用程序将收到的用户输入,直接作为HTML输出的一部分时,并且未经验证或转义,攻击者就可以输入一些JavaScript脚本,使得受害者的浏览器
HTML5 localStorageXSS漏洞
笑花大王
02-13 1171
localStorage基础 WindowlocalStorage属性 HTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。 顾名思义: sessionStorage 是针对session的数据存储,关闭窗口后删除。 localStorage 是一个本地的没有时间限制的数据存储。 它们同样遵循SOP 语法: wi...
XSS 漏洞详解
good good study
03-12 7763
XSS跨站脚本攻击(Cross Site Scripting),的本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。比如读取cookie,session,tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈等。比较经典的事故有...
DOM-XSS漏洞挖掘与攻击面全面解析
DOM-XSS挖掘与利用的关键在于识别和利用那些设计上可能允许用户输入并被浏览器解析的HTML元素。常见的DOM-XSS漏洞位置包括: 1. URL代入页面: 在页面加载时,某些用户输入字段可能导致URL被恶意注入,如搜索框、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值