DOM based XSS

最新推荐文章于 2025-07-21 00:58:16 发布
最新推荐文章于 2025-07-21 00:58:16 发布
阅读量1.2k 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_31820885/article/details/72521683
本文通过两个具体实例,详细解析了跨站脚本(XSS)攻击的实现方式。首先介绍了如何构造事件触发弹窗警告,随后展示了如何利用图片标签进行XSS攻击。深入浅出地解释了XSS攻击的基本原理和技术细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=GB18030" />
<title>Insert title here</title>
</head>

<script>
function test(){
	var src = document.getElementById("text").value;
	document.getElementById("a").innerHTML = "<a href='"+src+"'> testLink </a>";
}
</script>

<body>
<div id="a"></div>
<input type="text" id="text" value="" />
<input type="button" id="b" value="write" onclick="test()" />

</body>
</html>


1.构造一个新事件:

文本框中输入 ' onclick=alert('xss') //    

后点击链接会自动执行alert('xss')

分析:第一个 ' 是为了闭合源码中的 '    因为自己添加了一个 ' ,所以要用 // 注释掉源码中的 ' 


2.闭合掉<a :

输入: '><img src=# onerror=alert('xss') /> <'

分析:#是占位符,相当于这个图片的链接是空链接, onerror 在找不到资源是被调用


Dom Based XSS
weixin_45634365的博客
03-08 1371
一、Dom Based XSS简介 Dom Based XSS漏洞是基于文档对象模型(Document Object Model,DOM)的一种漏洞。 DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分,简单地说,DOM是一个可以通过JS操纵浏览器和网页显示内容的接口。 DOM中有很多对象,其中一些是用户可以操纵的,如URL ,location,refelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖
DOM-basedXSS
weixin_44186370的博客
08-20 1691
DOM-basedXSS 这种类型的XSS并非按照“数据是否保存在服务器端”来划分,DOM Based XSS从效果上来说也是反射型XSS。单独划分出来,是因为DOM Based XSS的形成原因比较特别,发现它的安全专家专门提出了这种类型的XSS。出于历史原因,也就把它单独作为一个分类了。通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS。 我们客户端的js可以对页面dom节点进行动态的操作,比如插入、修改页面的内容。比如说客户端从URL中提取数据并且在本地执行、如果用户在客户端输入
DOM-Based XSS
buptisc_txy的专栏
05-18 3331
无论怎样,DOMXSS攻击需要小心再小心,最好能在客户端做一个过滤。 这个在服务器端解析时,竟然只能解析一个name? http://www.vulnerable.site/welcome.html?foobar=name=alert(document.cookie)&name=Joe #号后面的某些浏览器传递不到服务器,但是在某些情况下,url解析后,恶意代码
XSS漏洞|DOM型、存储型、反射型
最新发布
pdxdhmk318的博客
07-21 997
一、XSS漏洞一、XSS漏洞1、XSS漏洞简介XSS全称(跨站脚本攻击),是将恶意代码插入到Web页面中,当用户浏览到该页面时这些嵌入在Web页面的代码就会被执行,从而到达攻击者的攻击目的。2、漏洞产生原理形成XSS漏洞是:因为Web应用程序对用户输入的内容和程序输出的内容没有经过严格的校验和过滤,导致攻击者构造的恶意代码被带入后,又被当作正常的代码输出至前端页面,浏览器当作有效代码解析执行从而产生危害。3、漏洞的危害窃取用户信息网络钓鱼,包括获取各类用户浏览器账号。
DOM Based XSS
Code_Aape的博客
08-28 323
DOM Based XSS从效果上来说也是反射型XSS,单独划分出来,是因为它的形成原因比较特别。
DOM based XSS finder-crx插件
04-02
DOM基于XSS Finder”是一个Chrome扩展名,查找基于DOMXSS漏洞。 查找基于DOM的XS可以是麻烦的。 此扩展可能会有所帮助。 此扩展名具有以下功能: - 如果用户输入(例如“Location.href”)导致危险功能(如...
利用DOM Based XSS漏洞进行攻击
#### 1.1 什么是DOM Based XSS漏洞 在Web应用程序安全领域,DOM Based XSS(跨站脚本攻击)是一种常见的漏洞类型。它利用了前端JavaScript代码操作DOM(文档对象模型)的特性,通过恶意构造的用户输入数据,成功...
XSS平台的用法、存储型XSSDom based XSS
weixin_41487522的博客
06-13 2388
XSS平台的用法、存储型XSSDom based XSS 如何使用XSS平台 这里介绍一种常用的xss平台。https://xsspt.com/ 如果xss的payload比较复杂的话,我们可以使用xss平台去获取cookie 注册后先创建项目: 勾选相应的配置: 可以选用相应的payload: 存储型XSS: 持久型/存储型XSS:嵌入到web页面的恶意html代码会被存储到应用服务器;简而言之就是会被存储到数据库,等用户在打开页面时,会继续执行恶意代码,能够持续的攻击用户。 存储型XSS会出现在什么
Web渗透:XSS-DOM-based XSS
WolvenSec的博客
06-21 1887
DOM-based XSS(基于DOM的跨站脚本攻击)是一种XSS攻击类型,其特点是恶意脚本通过操作文档对象模型(DOM)直接在客户端执行,而无需经过服务器的处理。这种攻击主要利用客户端JavaScript代码中的漏洞,使得攻击者能够在浏览器中注入并执行恶意代码。
DOM-based XSS in jQuery
weixin_33755847的博客
01-05 385
本文介绍了几种可能被 XSS 攻击的 jQuery 使用方法。 $ 我们经常使用向 $ 内传入一个字符串的方式来选择或生成 DOM 元素,但如果这个字符串是来自用户输入的话,那么这种方式就是有风险的。 先看一个 DEMO:http://jsbin.com/duwuzonife/1/edit?html,js,output javas...
dom based xss
wangxiao_2的专栏
10-08 468
function test(){ var str=document.getElementById("text").value; document.getElementById("t").innerHTML="testLink" } document.getElementById("t").innerHTML="testLink"  这一句是关键 上面的内容是吸纳
DOM-based XSS(Document Object Model Cross-Site Scripting)
qq_69100706的博客
07-30 508
在CTF(Capture The Flag)竞赛中,DOM-based XSS(Document Object Model Cross-Site Scripting)攻击,尤其是DOM反射型XSS,是一种利用Web应用程序内部的JavaScript处理逻辑来执行恶意脚本的攻击方式。与传统的反射型或存储型XSS不同,DOM反射型XSS不涉及服务器端的响应,而是依赖于客户端JavaScript处理用户提供的数据时发生的漏洞。
DOM Based XSS(owasp)
qq_1062290728的博客
03-21 340
原文 定义 基于domxss是指pyaload的执行结果是用户浏览器中DOM环境的修改。网页(http响应包)本身并没有修改,但由于DOM环境中发生的恶意修改,客户端中的页面代码的执行方式有所不同。 举例 假设以下代码用来生成一个表单,使用户选择他们偏好的语言。一个默认的语言也在请求中提供,为参数“default”。 … Select your language: <select><script> document.write("<OPTION value=1>"
DOM-based XSS Test Cases
weixin_30702413的博客
04-17 315
Case 23 - DOM Injection via URL parameter (by server + client) https://brutelogic.com.br/dom/dom.php?p=Hello.<svg onload=alert(1)> https://brutelogic.com.br/dom/dom.php?p=<img src=x onerror...
DVWA 之 DOM Based Cross Site Scripting (XSS)
baynk的博客
10-29 1950
汇总链接: https://baynk.blog.youkuaiyun.com/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ xss主...
DOM-based XSS攻击实现方法及如何预防教程
2301_76418831的博客
05-03 881
DOM-based XSS攻击是一种基于文档对象模型(DOM)的跨站脚本攻击。它利用了客户端脚本在解析页面时修改文档内容的能力。攻击者可以在客户端构造恶意URL,当用户访问该URL时,脚本会在用户浏览器中执行并污染当前文档对象,从而窃取用户敏感信息或者进行其他恶意行为。
理解DOM-Based XSS:原理与防范
"这篇文章主要介绍了DOM-Based XSS,这是一种特殊的XSS漏洞类型,它与传统的XSS攻击有所不同,主要涉及到网页的DOM(Document Object Model)结构。DOM-Based XSS是由于JavaScript通过DOM操作页面内容,导致敏感信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值