目录
DOM(document object model文档对象模型),客户端脚本处理逻辑导致的安全问题。基于DOM的XSS漏洞是指受害者端的网页脚本在修改本地页面DOM环境时未进行合理的处置,而使得攻击脚本被执行。在整个攻击过程中,服务器响应的页面并没有发生变化,引起客户端脚本执行结果差异的原因是对本地DOM的恶意篡改利用。
DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml等函数动态生成html页面,如果这些函数在引用某些变量时没有进行过滤或检查,就会产生DOM型的XSS。DOM型XSS可能是存储型,也有可能是反射型。
Low
?源码:
<?php
# No protections, anything goes
?> 没有对参数default做任何防护。
在XSS-DOM型页面选English,点提交:
?
然后在加载的url中把 English 换成 <script>alert(XSS)</script> ,点击回车键?,成功弹窗:
?还可以利用此漏洞对其他一些重要信息进行弹框。
Medium
<?php
// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
$default = $_GET['default'];
# Do not allow script tags
if (stripos ($default, "<script") !== false) {
header ("location: ?default=English");
exit;
}
}
?> - stripos()f函数:查找字符串在另一字符串中第一次出现的位置(不区分大小写)。(strpos区分大小写)
- header() 函数:向客户端发送原始的 HTTP 报头。
服务端当default参数存在且不为空的时候处理,? 并且过滤了<script>标签
漏洞利用:
方法1.用img标签或其他标签的特性去执行js代码,将payload修改为default=English"></option></select><img src="" οnerrοr="alert('XSS')">,发现现实成功:
注意:?这里需要先把option标签进行闭合才能出触发。
方法2.利用Url截断机制加#号
url中有一个字符为#,该字符后的数据不会发送到服务器端,从而绕过服务端过滤,构造连接
?#default=<script>alert('XSS')</script>:
?High
源码:
<?php
// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
# White list the allowable languages
switch ($_GET['default']) {
case "French":
case "English":
case "German":
case "Spanish":
# ok
break;
default:
header ("location: ?default=English");
exit;
}
}
?> High级别的服务端用了白名单的过滤方法,? default变量中的值,必须是French,English,German,Spanish才行否则就进行跳转结束运行;
绕过方法:这里的白名单过滤一般比较难绕,? 但是这里可以用上述的 # 来绕过
#?default=English<script>alert('XSS')</script>:
?Impossible
源码:
<?php
# Don't need to do anything, protction handled on the client side
?> 可以发现这里对我们输入的参数(lang)并没有进行URL解码,而在其他级别中是有解码过程的decodeURI(lang)。所以我们输入的任何参数都是经过URL编码,然后直接赋值给option标签。