草庐IT

DVWA-XSS(DOM)

yaolingyu 2023-03-28 原文

漏洞详解。

DOM XSS(Cross-site scripting)是一种Web安全漏洞,它利用了浏览器的DOM(文档对象模型)解析机制,通过注入恶意代码来攻击用户。

DOM XSS与传统的反射型或存储型XSS有所不同。在传统的XSS攻击中,攻击者通常在网页的URL或表单字段中注入恶意代码,用户访问网页时恶意代码就会被执行。而在DOM XSS攻击中,恶意代码被注入到网页的DOM中,当用户与网页交互时,恶意代码就会被执行。

DOM XSS攻击的危害可能比传统的XSS攻击更加严重,因为它不需要将恶意脚本传递给服务器,因此很难检测和防止。攻击者可以利用DOM XSS来窃取用户的敏感信息、执行钓鱼攻击、劫持用户会话等。

DOM XSS漏洞的原因在于,浏览器在解析HTML和JavaScript时,将HTML和JavaScript混合在一起处理,因此恶意代码可以通过修改DOM节点或属性来注入到网页中。攻击者可以通过各种方式来实现DOM XSS攻击,例如修改URL参数、修改表单数据、使用可编辑的HTML元素等。

下面将演示一个DOM的操作实例:

<!DOCTYPE html>
<html>
<head>
  <title>DOM示例</title>
</head>
<body>
  <h1 id="title">Hello, World!</h1>
  <p>This is a paragraph.</p>
</body>
</html>
JavaScript代码:

// 获取标题元素
var titleElement = document.getElementById("title");

// 修改标题文本
titleElement.innerHTML = "Hello, DOM!";

// 创建一个新段落元素
var newParagraph = document.createElement("p");
newParagraph.innerHTML = "This is a new paragraph.";

// 将新元素插入文档
document.body.appendChild(newParagraph);

这段代码首先获取具有ID“title”的元素,并使用innerHTML属性将该元素的文本内容更改为“Hello,DOM!”然后,它创建一个新的段落元素,并使用createElement()方法和innerHTML属性将新元素的文本内容设置为“This is a new paragraph.”最后,它使用appendChild()方法将新元素添加到文档中。

下面我们将对四个等级的代码分别进行分析。

LOW:

代码审计:

Unknown Vulnerability Source
vulnerabilities/xss_d/source/low.php
<?php

# No protections, anything goes

?>

发现没有任何信息,直接查看网页源代码(这里截取的是我们要分析的部分)。

        <form name="XSS" method="GET">
            <select name="default">
                <script>
                    if (document.location.href.indexOf("default=") >= 0) {
                        var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
                        document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
                        document.write("<option value='' disabled='disabled'>----</option>");
                    }
                        
                    document.write("<option value='English'>English</option>");
                    document.write("<option value='French'>French</option>");
                    document.write("<option value='Spanish'>Spanish</option>");
                    document.write("<option value='German'>German</option>");
                </script>
            </select>

这段代码是一个HTML表单,其中包含一个下拉菜单(<select>元素),名为default,并使用GET方法提交数据。当页面URL中存在default=参数时,该参数的值将被添加到下拉菜单中作为默认选项。

下拉菜单的选项内容由JavaScript代码动态生成。如果URL中存在default=参数,JavaScript将读取该参数的值并将其添加到下拉菜单中作为第一个选项。如果没有该参数,JavaScript将添加默认的四个选项:English、French、Spanish和German。

这里漏洞的产生,是因为JavaScript代码使用了document.write方法来将HTML代码动态写入到页面中。document.write()是一个JavaScript方法,它可以将文本、HTML代码或JavaScript代码写入到文档中。这里他没有对用户的输入做任何的过滤和验证。

漏洞利用:

http://127.0.0.1/DVWA-master/DVWA-master/vulnerabilities/xss_d/?default=<script>alert('XSS');</script>

在利用漏洞时我们只要在url中直接构建即可。

Medium:

代码审计:

Unknown Vulnerability Source
vulnerabilities/xss_d/source/medium.php
<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?>

那么通过代码审计我们可以得知对<script>标签进行了过滤,那么我们使用其他标签进行攻击。

漏洞利用:

http://127.0.0.1/DVWA-master/DVWA-master/vulnerabilities/xss_d/?default=</option></select><img src=x onerror=alert(1)>

<img>标签的onerror事件属性是一种常见的XSS攻击方式,在原本加载图片的过程中,如果这个图片无法正常加载,浏览器就会自动执行onerror事件属性中的JavaScript代码。攻击者可以利用这一点,将恶意代码放置在onerror事件属性中,一旦图片加载失败,该代码就会在用户浏览器中执行。除此之外,还有一些标签能进行XSS攻击。

  1. 攻击者可以在表单中插入一个带有onload属性的<img>标签,当该标签加载时,它可能会执行一个JavaScript函数,该函数会尝试从浏览器中获取敏感信息。
<img src="hack.gif" onload="stealInfo()">

  1. iframe标签。攻击者可以向一个iframe标签中引用一个恶意网站,该网站可能包含一个恶意脚本,该脚本可能会执行跨源攻击。

  2. a标签。攻击者可以在一个<a>标签中插入一个恶意的href属性,该属性将指向一个恶意网站,当用户点击该链接时,它可能会导致跨站点脚本攻击。

High:

代码审计:

Unknown Vulnerability Source
vulnerabilities/xss_d/source/high.php
<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }
}

?>

这里进行了白名单验证。代码首先检查 GET 请求是否具有名为 'default' 的参数,并且该参数的值不为空。如果存在该参数,则使用 switch 语句对该参数进行检查,检查是否包含在允许列表中(指定为 "French", "English", "German" 或 "Spanish")。如果在允许列表中,则不进行任何操作,否则,将网页重定向到同一页面,但将 'default' 参数设置为英语("English")。

漏洞利用:

http://127.0.0.1/DVWA-master/DVWA-master/vulnerabilities/xss_d/?default=English#</option></select><BODY ONLOAD=alert(document.cookie)>

可以看到我们在default参数值后加上了#,需要注意的是,#号注释掉的原有代码并不会影响新插入的代码的执行,因为#号会把其后面的内容都注释掉,而不会对其前面的代码造成影响。

Impossible:

代码审计:

Unknown Vulnerability Source
vulnerabilities/xss_d/source/impossible.php
<?php

# Don't need to do anything, protection handled on the client side

?>
        <form name="XSS" method="GET">
            <select name="default">
                <script>
                    if (document.location.href.indexOf("default=") >= 0) {
                        var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
// 这里的语句变了,并没有对我们输入的内容进行URL解码,所以我们输入的任何内容都是经过URL编码,然后直接赋值。因此不存在XSS漏洞。
                        document.write("<option value='" + lang + "'>" + (lang) + "</option>");
                        document.write("<option value='' disabled='disabled'>----</option>");
                    }
                        
                    document.write("<option value='English'>English</option>");
                    document.write("<option value='French'>French</option>");
                    document.write("<option value='Spanish'>Spanish</option>");
                    document.write("<option value='German'>German</option>");
                </script>
            </select>

防御方法:

  1. 对用户输入进行过滤和验证:在客户端和服务器端都需要对用户输入进行正则表达式匹配和过滤,以确保用户输入不包含任何可疑字符或代码。

  2. 使用CSP:Content Security Policy (CSP)可以限制从哪些源加载资源(如脚本、图像、CSS等),以及哪些动作允许执行(如eval()、setTimeout()等)。通过在HTTP响应头设置CSP策略,可以防止XSS攻击。

  3. 消除DOM XSS源:通过使用框架或库提供的API,可以有效地避免DOM型XSS攻击。例如,使用jQuery的.text()和.html()方法来插入文本和HTML,而不是使用.innerHTML属性,可以避免一些DOM XSS攻击。

  4. 对JavaScript API进行限制:在某些情况下,为了保护网站免受XSS攻击,可以通过限制JavaScript API的访问来实现。例如,可以对document.cookie进行限制,可以使用HttpOnly标志来防止JavaScript访问cookie。

  5. 对输入进行编码:将用户输入作为HTML、CSS或JavaScript的字符串进行编码,以确保任何用户输入都不会被执行为恶意代码。

总之,防止DOM型XSS攻击需要综合使用上述措施,特别是对用户输入进行过滤和验证,并使用CSP限制恶意资源的加载和动作的执行。

 

DVWA-XSSDVWAspancolorrgba网络安全

有关DVWA-XSS(DOM)的更多相关文章

  1. ruby-on-rails - 仅在某些页面上使用 rails_xss - 2

    我正在使用rails_xss运行Rails2.3.14插入。我有另一个用于创建管理仪表板View的插件。我的问题是rails_xss正在转义我的仪表板插件生成的所有HTML。有没有一种方法可以将rails_xss配置为不转义匹配example.com/admin或基于目录(app/views/admin)或任何类似的页面结果一样吗? 最佳答案 更新仪表板生成插件以使用raw或html_safe进行内容输出可能会更简单。 关于ruby-on-rails-仅在某些页面上使用rails_xss

  2. ruby-on-rails - 我将 Rails3 与 tinymce 一起使用。如何呈现用户关闭浏览器javascript然后输入xss? - 2

    我有一个用Rails3编写的站点。我的帖子模型有一个名为“内容”的文本列。在帖子面板中,html表单使用tinymce将“content”列设置为textarea字段。在首页,因为使用了tinymce,post.html.erb的代码需要用这样的原始方法来实现。.好的,现在如果我关闭浏览器javascript,这个文本区域可以在没有tinymce的情况下输入,也许用户会输入任何xss,比如alert('xss');.我的前台会显示那个警告框。我尝试sanitize(@post.content)在posts_controller中,但sanitize方法将相互过滤tinymce样式。例如

  3. ruby - Watir 无法找到我在 Chrome 的 DOM 检查器中看到的元素 - 2

    这是一个研究案例:......我正在尝试使用WatirRuby的API引用名为“bar”的嵌入元素。该元素由Chrome的DOM检查器显示,但我无法使用Watir的任何查找方法找到它:browser.embeds()#onlyisfoundbrowser.html.include?'bar'#=>false为什么会这样?为什么Watir不显示完整的HTML?如果我有不同框架中的元素或由Javascript初始化函数动态插入的元素,是否可以使用Watir访问它们?谢谢 最佳答案 如果元素在框架中,你必须使用这样的东西:browser.

  4. ruby - 使用 Mechanize gem 根据链接在 DOM 中的位置返回链接集合 - 2

    我正在为Mechanize而苦苦挣扎。我希望“单击”一组只能通过其位置(div#content中的所有链接)或其href来识别的链接。以上两种识别方法我都试过了,都没有成功。从文档中,我无法弄清楚如何根据链接在DOM中的位置而不是直接通过链接上的属性返回一组链接(用于单击)。其次,documentation建议你可以使用:href来匹配部分href,page=agent.get('http://foo.com/').links_with(:href=>"/something")但我让它返回链接的唯一方法是传递一个完全限定的URL,例如page=agent.get('http://foo

  5. ruby-on-rails - 清理 URL 以防止 Rails 中的 XSS - 2

    在Rails应用程序中,用户可以创建事件并发布URL以链接到外部事件站点。如何清理url以防止XSS链接?提前致谢XSS示例,rails的清理方法无法防止@url="javascript:alert('XSS')"">testlink 最佳答案 一旦href已经在标签中,请尝试清理:url="javascript:alert('XSS')"sanitizelink_to('xsslink',url)这给了我:xsslink 关于ruby-on-rails-清理URL以防止Rails中的X

  6. ruby-on-rails - Ruby on Rails 和 XSS 预防 - 2

    RubyonRails中防止XSS的做法有哪些?我在网上发现了许多旧文档,大部分时间都是关于使用h/html_escape帮助程序转义来自用户的任何变量。我从较新的文档中了解到,在2.0及更高版本中有sanitize方法,自动清除假定的输入恶意输入。是否足够,或者您是否正在做更多的事情来保护您的应用程序? 最佳答案 h方法仍然是转义字符串中所有HTML的方法。您应该在输出内容的任何地方使用此方法。这种行为将在Rails3中发生变化。默认情况下所有输出都将被转义,您需要明确指定不对其进行转义。同时,如果您经常忘记使用此h方法,您可能需

  7. ruby-on-rails - Rails - ActionView::Base.field_error_proc 向上移动 DOM 树? - 2

    有没有办法从传入的html_tag元素向上攀登DOM树?ActionView::Base.field_error_proc=Proc.newdo|html_tag,instance|#implementationend无论如何我可以实现这个方法来向上移动DOM树并将一个类放在父div上吗?例如:EmailAddress我想在div.email上放置一个类,而不是直接在输入/标签上放置一些东西。这可以用field_error_proc方法完成还是有一个干净的替代方法?我想避免在我对每个表单字段的View中明确地这样做。(像下面这样).email{:class=>object.errors

  8. 前端基于DOM或者Canvas实现页面水印 - 2

    🐱个人主页:不叫猫先生🙋‍♂️作者简介:前端领域新星创作者、阿里云专家博主,专注于前端各领域技术,共同学习共同进步,一起加油呀!💫系列专栏:vue3从入门到精通、TypeScript从入门到实践📢资料领取:前端进阶资料以及文中源码可以找我免费领取🔥前端学习交流:博主建立了一个前端交流群,汇集了各路大神,一起交流学习,期待你的加入!(文末有我wx或者私信)目录前言一、vue自定义指令directive讲解二、基于DOM的实现方式1.思路整理2.新建index.vue3.新建`directives`文件4.在`directives`文件下创建`index.ts`文件5.在`main.ts`中全局引

  9. ruby - 使用 ruby​​ 的特定 dom 元素的屏幕截图 - 2

    有没有办法做到this使用capybara+phantomjs。或者更复杂的东西,比如将整页屏幕截图裁剪到特定的dom元素? 最佳答案 Apullrequest已提交此功能。即将关闭,您将可以使用driver.renderselector:'#some_id`在下一个版本中。 关于ruby-使用ruby​​的特定dom元素的屏幕截图,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/

  10. ruby - 如何搜索 "text"然后从找到的节点遍历 DOM? - 2

    我有一个网页,我需要从中抓取一些数据。问题是,每个页面可能有也可能没有特定数据,或者在DOM中它的上方或下方可能有额外的数据,并且没有CSSid可言。通常我可以使用CSSid或XPath来找到我正在寻找的节点。在这种情况下我没有那个选项。我要做的是搜索“标签”文本,然后在下一个中获取数据节点:Name:JoeSmith在上面的HTML中,我会搜索:doc.search("[text()*='Name:']")获取我需要的数据之前的节点,但我不确定如何从那里导航。 最佳答案 next_element可能是您正在寻找的方法。requir

随机推荐