wooyun常见domxss总结

最新推荐文章于 2023-11-21 15:57:20 发布
最新推荐文章于 2023-11-21 15:57:20 发布
阅读量191 收藏
点赞数
分类专栏: 安全知识库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiru9972/article/details/113523248
版权

wooyun常见domxss总结

前言

wooyun有很多旧时代知识沉淀,需要多看看,才能更好地迈向新时代。其中反射和存储太常见了,详情可以看我之前的XSS专栏之常见xss总结备忘
本文章属于备忘系列,后期会不断加新东西。

1.1 innerHTML

<div id="XXX">???</div>
<script>
var a=getParam("test");  //获取地址栏里的test参数
document.getElementById("XXX").innerHTML=a;
</script>

1.2 document.write

document.write("xxxxxxxxxxxx");

1.3 jQuery

$("#y").html("xxxxxxx");

1.4 flash-navigateToURL

navigateToURL(new URLRequest(link), "_self");

1.5 getURL

getURL(link,"_self");

1.6 ExternalInterface.call1

func可控

ExternalInterface.call(func,"参数1");

主要是栈到这一步

try { __flash__toXML(SWFUpload.instances[func"].flashReady("参数1")) ; } catch (e) { "<undefined/>"; }

1.7 ExternalInterface.call2

参数1可控

ExternalInterface.call(func,"参数1");

主要是栈到这一步

try { __flash__toXML(函数名("参数1")) ; } catch (e) { "<undefined/>"; }

1.8在线payload查询

http://html5sec.org/

1.9 document.location.hash

var L = document.location.hash.substring(1);
...
L拼接输出
_HWHXY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wooyun_search:从wooyun.org搜索
02-06
wooyun_search乌云公开漏洞,情报搜索0x00。介绍灵感起点hanc00l的github项目 wooyun_public基于flask或者tornado,而本项目可以布置在apache,nginx等web服务器上。如果你有wooyun的静态网页数据,那么我们可以开始...
关于DOMXSS的深入解析(收藏)
热门推荐
告白的博客
01-11 1万+
很多初次接触xss的小白,尽管知道xss的三种分类,但是在DOMxss还是存在理解上的不足,这篇文章希望能帮助到更好的理解DOMxss
Web安全——DOM-XSS详解
Boom!脑洞大爆炸的博客
08-15 8328
手把手入门DOM-XSS漏洞
web ---- DomXSS
L0g1c的博客
07-31 2353
存储xss最持久,而且更为隐蔽,因为是存在数据库当中的,触发的url当中没有带js或者其他的html代码,所以他的实用性更高。其次则是DomXSS因为它能绕过大部分浏览器的过滤,再其次才是反射XSS反射xss还要深思熟虑的考虑根据浏览器去bypass各种过滤,易用性稍微差一些(注意反射xssdomxss都需要在url加入js代码才能够触发)非持久xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。...
DOMXSS详讲
最新发布
weixin_59047731的博客
11-21 1103
在网站页面中有许多元素,当页面到达浏览器时,浏览器会为页面创建一个项级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。也就是说,客户端的脚本程序可以通过DOM动态修改页面内容,从客户端获取DOM中的数据并在本地执行。由于DOM是在客户端修改节点的,所以基于DOMXSS漏洞不需要与服务器端交互,它只发生在客户端处理数据的阶段。除了富文本的输出之外,在变量输出到HTML页面时,可以使用编码或者转义的方式来防御XSS攻击。
必看 关于domxss和反射xss的区别
dzqxwzoe的博客
02-13 1791
xss漏洞的原理其实很简单,类也分为三类,反射、储存dom。但是刚接触xss的时候我根本不理解什么是domxss,无法区分反射dom,也很少遇见,现在通过这篇文章可以给新入坑的小白更好的理解xss漏洞,也通过这篇文章巩固一下我对xss的理解,如有不正确的地方欢迎各位师傅斧正。
wooyun_public-master.zip
08-23
wooyun_public-master
wooyun知识库超级爬虫
05-09
wooyun知识库超级爬虫,多进程运行,可调节进程池进程数量,使用pdfkit模块打包html文件为pdf,需要安装wkhtmltox-0.12.4_msvc2015-win64.exe(64位)
精防wooyun程序源码加数据库
01-09
使用ThinkPHP,精品防止wooyun源码程序。
仿wooyun程序
08-04
仿wooyun程序
wooyun drops乌云知识库全部文章.zip
09-13
自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,自行脑补,我只是资料的搬运工,内容质量不负责
XSS跨站脚本】DOMXSS
08-23 1753
XSS跨站脚本】DOMXSS
3-4DomXSS详解以及演示
山兔的博客
04-21 3440
学习DOMXSS前,先搞清楚什么是DOM 通过 JavaScript,可以重构整个 HTML 文档。您可以添加、移除、改变或重排页面上的项目。 要改变页面的某个东西,JavaScript 就需要获得对HTML 文档中所有元素进行访问的入口。这个入口,连同对 HTML 元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模来获得的(DOM)。 所以,你可以把DOM理解为一个可以访问HTML的标准编程接口。 举个栗子来理解一下DOM <html><head> <sc
渗透测试基础-DOMXSS原理及实操
weixin_45488495的博客
04-19 3365
渗透测试基础-DOMXSS原理及实操DOM是什么,DOMXSS又是什么DomXSS靶场演练漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! DOM是什么,DOMXSS又是什么 Dom是一个与平台,编程语言无关的【端口】,它允许程序或者脚本动态的访问和更新文档的内容,结果和样式,处理后的结果能够成为显示的一部分,不依赖于提交数据到服务器端,从而客户端获得Dom中的数据在本地执行,如果Dom中的数据没有经过严格的确定,就会产
实验24:domxss详解及多种场景演示
qq_44720671的博客
04-15 2608
什么是dom? 举个例子来理解一下dom 我们直接进入w3school这个网站来查看dom的实例 我们点开 这边就是一段纯html的代码 我们再把它原有的java script代码放回去 这段代码就是对x进行一个getElementById的赋值,当你点击这个标题的时候,他会把值转给function,然后就会弹出一个这是标题的框 这一整个过程都是在前端进行的,没有与后台进行交互,所以...
DOMXSS
qq_45300786的博客
08-20 3940
可以通过document来获取有些信息。
DOM XSS的原理与防护
cavalier的学习之路
04-07 1万+
前言 首先这里为什么要讨论DOM XSS而不是比较常见的反射XSS和存储XSS,因为基于DOM XSS原理和利用场景,服务端过滤及客户端转义的防护手段并不能完全适用于DOM XSSDOM  XSS原理 与反射XSS、存储XSS的区别就在于xss代码并不需要服务器解析响应的直接参与,触发XSS靠的是浏览器端的DOM解析。 例如如下代码: xxx document
本地搭建Wooyun漏洞库(二)——Ubuntu 18.04下搭建WooYun漏洞库
浅浅的博客
08-23 2972
本文参考https://github.com/grt1st/wooyun_search 这篇文章是建立在已经搭建好LAMP环境的基础上进行的,搭建方法可见:本地搭建Wooyun漏洞库(一)——Ubuntu 18.04下搭建LAMP环境 一、下载资源 访问https://github.com/grt1st/wooyun_search,下载所需文件。 下载该ZIP文件(文件名为:wooyu...
DOMXSS常用知识点整理
Reset
05-12 1255
目录 1.DOM基础 2.常用的DOM对象 3.常用的DOM方法 4.常用的DOM属性 5.DOMXSS流程 1.DOM基础 HTML的标签都是节点,而这些节点组成了DOM的整体结构---节点树。 DOM的规定如下:整个文档是一个文档节点;每个HTML标签是一个元素节点;包含在HTML元素中的文本是文本节点;每一个HTML属性是一个属性节点;注释是注释节点;节点与节点之间都有等级关系。 通过HTML DOM,树种所有的节点均可通过JavaScript代码进行访问。所有HTML元素(节点)
wooyun镜像网站
09-16
wooyun镜像网站是一个乌云网的镜像站点,用于存储乌云网上的漏洞和知识库文章。通过点击链接,可以将原始URL转换为乌云镜像站的URL地址,从而在镜像站点上查看原文内容。乌云镜像站的首页地址是192.168.162.138:5000...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值