一、XSS漏洞中的DOM破坏:原理与应用场景
1.1、DOM破坏型XSS原理:
DOM破坏型XSS(DOM Clobbering)是一种特殊类型的XSS攻击,它通过操纵DOM结构来破坏JavaScript的正常执行流程,从而达到注入恶意代码的目的。
基本原理:
-
DOM与JavaScript的交互:浏览器允许JavaScript通过全局对象(如`window`)访问DOM元素
-
命名元素覆盖:当HTML元素具有`id`或`name`属性时,这些元素会被自动添加到全局作用域中
-
属性覆盖:攻击者可以创建特定命名的元素来覆盖JavaScript中的关键变量或函数
-
执行流程篡改:通过覆盖关键变量或函数,改变应用程序的正常执行路径
当JavaScript代码尝试访问`window.securityPolicy`时,获取的不是预期的安全策略对象,而是DOM元素集合,可能导致后续代码执行异常或被操纵。
1.2、应用场景
-
覆盖安全策略变量
// 应用代码
const securityPolicy = {
isAdmin: false,
validateInput: function(input) {
// 输入验证逻辑
}
};// 攻击者通过DOM破坏覆盖securityPolicy
// <form id="securityPolicy"></form> -
绕过输入过滤
// 应用代码
function sanitize(input) {
const div = document.createElement('div');
div.textContent = input;
return div.innerHTML;
}// 攻击者可以破坏document.createElement方法
// -
操纵API调用
// 应用代码
fetch('/api/data', {
headers: {
'X-CSRF-Token': window.csrfToken
}
});// 攻击者注入: <meta name="csrfToken" content="malicious-value">
-
破坏框架安全机制
许多前端框架依赖特定的全局变量或配置对象,攻击者可以通过DOM破坏这些关键对象来绕过框架的安全机制。
1.3、 防御措施
- 避免全局命名空间污染:
-
使用模块化开发(ES6 modules)
-
避免依赖全局变量进行重要操作
- 严格的内容安全策略(CSP):
-
限制内联脚本执行
-
限制非信任源的脚本加载
- 输入净化:
-
对所有用户输入进行严格的HTML编码
-
使用DOMPurify等库清理HTML
- 防御性编程:
-
检查关键变量是否为预期类型
-
使用`Object.freeze()`保护重要对象
- 使用现代框架的安全特性:
- React、Vue、Angular等框架内置了XSS防护机制
DOM破坏型XSS展示了客户端安全中DOM与JavaScript交互的复杂性,需要开发者在设计和实现Web应用时特别关注这种隐蔽的攻击方式。
二、 XSS漏洞中的Prototype和Object利用
在XSS攻击中,JavaScript的`prototype`和`Object`机制常被攻击者利用来扩大攻击面或绕过防御措施。下面我将详细解释这些概念及其在XSS攻击中的应用。
1. JavaScript原型(Prototype)基础
原型链概念:JavaScript是一种基于原型的语言,每个对象都有一个原型对象,对象从原型继承属性和方法。
// 构造函数
function User(name) {
this.name = name;
}
// 通过prototype添加方法
User.prototype.greet = function() {
return `Hello, ${this.name}`;
};
const user = new User('Alice');
console.log(user.greet()); // 继承自prototype原型污染(Prototype Pollution):攻击者可以通过修改对象的原型来影响所有基于该原型的实例。
// 恶意代码可以污染Object原型
Object.prototype.isAdmin = true;
// 现在所有对象都会继承isAdmin属性
const user = { name: 'Bob' };
console.log(user.isAdmin); // true (即使未显式设置)2. Object在XSS中的利用
常见利用方式
2.1 污染内置对象原型
// 攻击者可能注入的代码
String.prototype.trim = function() {
// 恶意代码
sendDataToAttacker(this);
return this;
};
// 之后所有字符串的trim()都会执行恶意代码
" normal input ".trim();2.2 覆盖关键方法
// 覆盖Array.prototype.push
Array.prototype.push = function(item) {
// 窃取数据
exfiltrateData(item);
// 调用原始实现
return Array.prototype.push.apply(this, arguments);
};三、存储型xss漏洞
漏洞定义:存储型XSS(持久型XSS)是指恶意脚本被永久存储在目标服务器(如数据库、消息论坛、评论字段等),当其他用户访问包含该恶意脚本的页面时,脚本会在他们的浏览器中执行。
特点:
- 持久性 - 恶意代码存储在服务器上
- 传播性 - 影响所有访问受影响页面的用户
- 高危害性 - 可窃取cookie、会话令牌,进行钓鱼攻击等
常见易发场景:
1. 用户生成内容区域
-
评论/留言系统(主要集中在评论系统中 )
-
论坛帖子/回复
-
社交媒体发帖
2. 个人信息字段
-
用户资料页(名称、简介等)
-
客服聊天记录
-
工单系统内容
3. 文件上传功能
-
允许上传HTML/SVG文件的场景
-
文件内容未充分过滤
典型攻击流程:
恶意输入 → 服务器存储 → 页面展示 → 用户访问 → 脚本执行 → 数据泄露/恶意操作