DOM-based型XSS

最新推荐文章于 2024-06-21 10:28:25 发布
最新推荐文章于 2024-06-21 10:28:25 发布
阅读量1.5k 收藏 1
点赞数 2
文章标签: 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44186370/article/details/108128232
版权

DOM-based型XSS
这种类型的XSS并非按照“数据是否保存在服务器端”来划分,DOM Based XSS从效果上来说也是反射型XSS。单独划分出来,是因为DOM Based XSS的形成原因比较特别,发现它的安全专家专门提出了这种类型的XSS。出于历史原因,也就把它单独作为一个分类了。通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS。
我们客户端的js可以对页面dom节点进行动态的操作,比如插入、修改页面的内容。比如说客户端从URL中提取数据并且在本地执行、如果用户在客户端输入的数据包含了恶意的js脚本的话,但是这些脚本又没有做任何过滤处理的话,那么我们的应用程序就有可能受到DOM-based XSS的攻击。
为了更好地理解,通过实例来演示:我们直接进入pikachu平台进行演示:
我们随便输入一些数字作为试探信息,发现它回应了what do you see这句话。
在这里插入图片描述

图3.9 进入pikachu平台,输入试探性信息
通过试探性信息,我们可以知道输入点。如进入源代码页面,搜索一下what do you see,我们可以定位到这个地方。
在这里插入图片描述

图3.10 成功定位输入点
发现就是我们演示反射型XSS的方法,它把我们输入的东西赋值给了str,之后又通过字符串拼接的方法将我们的输入写到了a标签的href里面,那么接下来,我们如何去确认这个地方

最低0.47元/天 解锁文章
weixin_44186370
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Dom Based XSS
weixin_45634365的博客
03-08 1259
一、Dom Based XSS简介 Dom Based XSS漏洞是基于文档对象模(Document Object Model,DOM)的一种漏洞。 DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分,简单地说,DOM是一个可以通过JS操纵浏览器和网页显示内容的接口。 DOM中有很多对象,其中一些是用户可以操纵的,如URL ,location,refelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖
DOM-Based_XSS
05-17
对于DOM-Based_XSS不太懂的童鞋可以看看。 xss的一种特殊类
DOM XSS 攻击演示(附链接)
Flag少侠的博客
01-25 2693
DOM XSS 攻击演示(附链接)
Web渗透:XSS-DOM-based XSS
WolvenSec的博客
06-21 1098
DOM-based XSS(基于DOM的跨站脚本攻击)是一种XSS攻击,其特点是恶意脚本通过操作文档对象模DOM)直接在客户端执行,而无需经过服务器的处理。这种攻击主要利用客户端JavaScript代码中的漏洞,使得攻击者能够在浏览器中注入并执行恶意代码。
DOM-based XSS攻击实现方法及如何预防教程
2301_76418831的博客
05-03 547
DOM-based XSS攻击是一种基于文档对象模DOM)的跨站脚本攻击。它利用了客户端脚本在解析页面时修改文档内容的能力。攻击者可以在客户端构造恶意URL,当用户访问该URL时,脚本会在用户浏览器中执行并污染当前文档对象,从而窃取用户敏感信息或者进行其他恶意行为。
【应用安全——XSSDOMXSS挖掘
Fly_鹏程万里
02-22 1878
DOM-Based XSS是一种基于文档对象模(Document Object Model,DOM)的Web前端漏洞,简单来说就是JavaScript代码缺陷造成的漏洞。与普通XSS不同的是,DOM XSS是在浏览器的解析中改变页面DOM树,且恶意代码并不在返回页面源码中回显,这使我们无法通过特征匹配来检测DOM XSS。 0x01 页面跳转 页面跳转中常用的三种方式: 1)302跳转 ...
DOM Based Cross Site Scripting (XSS)
angry_program的博客
02-09 2758
前言 DOM(document object model文档对象模),客户端脚本处理逻辑导致的安全问题。基于DOMXSS漏洞是指受害者端的网页脚本在修改本地页面DOM环境时未进行合理的处置,而使得攻击脚本被执行。在整个攻击过程中,服务器响应的页面并没有发生变化,引起客户端脚本执行结果差异的原因是对本地DOM的恶意篡改利用。DOMXSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的...
漏洞篇之DOMxss
weixin_46446401的博客
03-03 8246
介绍了domxss的原理和特点,并讲解了pikachu这个靶场的例子
DOM based XSS finder-crx插件
04-02
DOM基于XSS Finder”是一个Chrome扩展名,查找基于DOMXSS漏洞。 查找基于DOM的XS可以是麻烦的。 此扩展可能会有所帮助。 此扩展名具有以下功能: - 如果用户输入(例如“Location.href”)导致危险功能(如...
DOMXSS1
08-08
DOMXSS(Document Object Model-based Cross-Site Scripting)是指攻击者通过inject恶意脚本到网页中,从而影响用户的隐私和安全的一种攻击方式。下面是对DOMXSS的详细解释和分析: 什么是DOMXSSDOMXSS...
xss-labs.zip
06-25
"xss-labs.zip" 提供了一个专为学习和实践XSS攻击设计的集成环境,它通过一系列的挑战关卡,帮助我们了解和掌握XSS攻击的原理和防范措施。 XSS攻击主要分为三类:存储XSS、反射XSSDOM-Based XSS。在"XSS Labs...
xss-labs-master源码
07-06
例如,"level9.php"可能涉及到DOM-based XSS,"level13.php"可能涉及存储XSS,每个级别都会引入不同的攻击场景和技术。 最后,"level6.php"到"level7.php"等文件代表了难度逐渐升级的过程,学习者需要掌握不同...
XSS攻击原理及防范
bawei939的博客
08-29 5321
文章目录一、XSS攻击简介二、XSS攻击分类1.反射2.存储3.DOM-based三、XSS防范1.cookie安全策略2.X-XSS-Protection设置3.XSS防御HTML编码4.XSS 防御HTML Attribute编码5.XSS防御之javascript编码6.XSS 防御之 URL 编码7.XSS 防御之 CSS 编码8.开启CSP网页安全政策防止XSS攻击 一、XSS攻击简介 XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,
Web渗透测试之XSS攻击:基于DOMXSS
vodkaDL的博客
03-04 6799
文章目录前言基于DOMXSS总结 前言 基于DOMXSS 总结
说说如何防御 DOM BasedXSS 攻击
读万卷书,行万里路
08-31 2139
普通的 XSS,是通过服务端(比如模板技术)将数据输出到 HTML 中。而 DOM BasedXSS,是通过 JS 将数据输出到 HTML 中。 1 失败防御案例一 请看下例: <script type="text/javascript"> var x='<来源于 input 输入框>'; document.write("<a href=...
什么是XSS攻击?XSS攻击有哪几种类?
MachinegunJoe777的博客
08-17 4437
前言: 网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类?今天小编为大家讲解一下。 什么是XSS攻击? XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS攻击有哪几种类? 常见的XSS攻击有三种:反射XSS攻击DOM-basedX.
DOM XSS的原理与防护
cavalier的学习之路
04-07 1万+
前言 首先这里为什么要讨论DOM XSS而不是比较常见的反射XSS和存储XSS,因为基于DOM XSS原理和利用场景,服务端过滤及客户端转义的防护手段并不能完全适用于DOM XSSDOM  XSS原理 与反射XSS、存储XSS的区别就在于xss代码并不需要服务器解析响应的直接参与,触发XSS靠的是浏览器端的DOM解析。 例如如下代码: xxx document
DVWA之DOM XSS(DOM跨站脚本攻击)
热门推荐
谢公子的博客
10-03 2万+
目录 Low Medium High Impossible Low 源代码: &lt;?php # No protections, anything goes ?&gt; 从源代码可以看出,这里low级别的代码没有任何的保护性措施! 页面本意是叫我们选择默认的语言,但是对default参数没有进行任何的过滤 所以我们可以构造XSS代码,访问链接: http://127...
DOMXSS学习笔记
qq_38275468的博客
11-06 1391
DOM,全称是Document Object Model,文档对象模DOM实际上是以面向对象方式描述的文档模DOM定义了表示和修改文档所需的对象、这些对象的行为和属性以及这些对象之间的关系。可以把DOM认为是页面上数据和结构的一个树形表示,html页面中的所有标签,完全可以一棵以HTML标签为根节点的树,其他的标签都可以看做它的子孙节点。 所谓的DOMXSS就是通过在
哪那种类xss危害最大 存储xss 反射xss DOMxss 危害一样大
最新发布
06-25
3. DOMXSS (DOM-Based XSS): 这种攻击发生在客户端,即攻击者通过修改已加载网页的DOM来执行恶意代码。由于攻击针对的是用户的浏览器环境,代码仅在当前页面有效,但仍然可能导致敏感信息泄露或操作用户的浏览行为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值