DVWA-XSS(DOM)

XSS 简介

参考链接
XSS（Cross Site Script），全称跨站脚本攻击，为了与 CSS（Cascading Style Sheet） 有所区别，所以在安全领域称为 XSS。
XSS 攻击，通常指黑客通过 HTML 注入 篡改网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击行为。

DOM—based XSS漏洞的产生

DOM—based XSS漏洞是基于文档对象模型Document Objeet Model，DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口，它允许程序或脚本动态地访问和更新文档内容、结构和样式，处理后的结果能够成为显示页面的一部分。DOM中有很多对象，其中一些是用户可以操纵的，如uRI，location，refelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容，它不依赖于提交数据到服务器端，而从客户端获得DOM中的数据在本地执行，如果DOM中的数据没有经过严格确认，就会产生DOM—based XSS漏洞。

DOM是什么？

可能触发DOM型XSS的属性：

document.referer属性

window.name属性

location属性

innerHTML属性

documen.write属性

Low

1. 查看服务器端源代码如下：

没有采取任何保护措施

<?php

# No protections, anything goes

?>

2.查看网页代码：

Vulnerability: DOM Based Cross Site Scripting (XSS)

<div class="vulnerable_code_area">

	<p>Please choose a language:</p>

	<form name="XSS" method="GET">
		<select name="default">
			<script>
				if (document.location.href.indexOf("default=") >= 0) {
					var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
					document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
					document.write("<option value='' disabled='disabled'>----</option>");
				}
				    
				document.write("<option value='English'>English</option>");
				document.write("<option value='French'>French</option>");
				document.write("<option value='Spanish'>Spanish</option>");
				document.write("<option value='German'>German</option>");
			</script>
		</select>
		<input type="submit" value="Select" />
	</form>
</div>

代码解释：

document 和 windows 对象

document表示的是一个文档对象，window表示的是一个窗口对象，一个窗口下可以有多个文档对象。

所以一个窗口下只有一个window.location.href，但是可能有多个document.URL、document.location.href

window 对象

它是一个顶层对象,而不是另一个对象的属性即浏览器的窗口。

document 对象

该对象是window和frames对象的一个属性,是显示于窗口或框架内的一个文档。

document 只是属于window 的一个子对像。

window.location 包含 href 属性，直接取值赋值时相当于 window.location.href的用法

window.location.href 当前页面完整 URL

document.location 包含 href 属性，直接取值赋值时相当于 document.location.href

document.location.href 当前页面完整 URL

document.href 没有这个属性

document.URL 取值时等价于 window.location.href 或 document.location.href。在某些浏览器中通过对 document.URL 赋值来实现页面跳转，但某些浏览器中不行。

decodeURI() 函数可对 encodeURI() 函数编码过的 URI 进行解码

document.write

document.write是JavaScript中对document.open所开启的文档流(document stream操作的API方法，它能够直接在文档流中写入字符串，一旦文档流已经关闭，那document.write就会重新利用document.open打开新的文档流并写入，此时原来的文档流会被清空，已渲染好的页面就会被清除，浏览器将重新构建DOM并渲染新的页面

所以我们插入的 javascript 代码可以在 decodeURL(lang) 被执行

3.构造payload

应用程序直接将提交数据输出到 html 页面，未对提交数据做任何过滤检查和转义操作，
可直接使用提交数据包含 xss payload 进行攻击

http://localhost/dvwa-master/vulnerabilities/xss_d/?default=English<script>alert(1)</script>

写入页面的效果是：

<option value=‘English<script>alert(1)</script>’>English<script>alert(1)</script> </option>

Medium

1、查看服务器端代码

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?> 

可知过滤了

array_key_exists() 函数检查某个数组中是否存在指定的键名，如果键名存在则返回 true，如果键名不存在则返回 false。
提示：如果指定数组的时候省略了键名，将会生成从 0 开始并以 1 递增的整数键名
array_key_exists(key,array)
参数 描述
key 必需 规定键名。
array 必需。规定数组

stripos() 函数查找字符串在另一字符串中第一次出现的位置（不区分大小写）
stripos(string,find,start)
参数 描述
string 必需 规定被搜索的字符串。
find 必需 规定要查找的字符。
start 可选 规定开始搜索的位置。
返回值： 返回字符串在另一字符串中第一次出现的位置，如果没有找到字符串则返回 FALSE。注释：字符串位置从 0 开始，不是从 1 开始。

header() 函数向客户端发送原始的 HTTP 报头

header(string,replace,http_response_code)
参数 描述
string 必需 规定要发送的报头字符串。
replace 可选 指示该报头是否替换之前的报头，或添加第二个报头。
默认是 true（替换）。false（允许相同类型的多个报头）。
http_response_code可选 把 HTTP 响应代码强制为指定的值。（PHP 4 以及更高版本可用）

2、查看客户端代码

跟Low级别的一样

	<p>Please choose a language:</p>

	<form name="XSS" method="GET">
		<select name="default">
			<script>
				if (document.location.href.indexOf("default=") >= 0) {
					var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
					document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
					document.write("<option value='' disabled='disabled'>----</option>");
				}
				    
				document.write("<option value='English'>English</option>");
				document.write("<option value='French'>French</option>");
				document.write("<option value='Spanish'>Spanish</option>");
				document.write("<option value='German'>German</option>");
			</script>
		</select>
		<input type="submit" value="Select" />
	</form>
</div>

3、构造payload

直接被截了下来
思路：既然

构造的payload:

http://localhost/dvwa-master/vulnerabilities/xss_d/?default=English</option><img src=1 onerror=alert(/xss/)>

写入页面的效果：

<option value=''> English</option></select><img src=1 onerror=alert(/xss/)></option>

不闭合标签则无法利用xss漏洞，具体原因我也不太清楚。。。。

High

1、查看服务器端代码

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }
}

?> 

发现采用了白名单过滤

2、构造payload

http://localhost/dvwa-master/vulnerabilities/xss_d/?default=English #<script>alert(1)</script>

写入页面的效果是：

English #

原理：由于 form表单提交的数据需要经过JS 过滤， 所以注释部分的javascript 代码不会被传到服务器端(也就符合了白名单的要求)，从而只在客户端显示

Impossible

1、查看服务器端代码

<?php

# Don't need to do anything, protction handled on the client side

?> 

2、查看客户端代码