钟楼网站建设,建设部监理工程师报名网站,常州网站建站公司,设计师接私活的网站DOM型XSSDOM是什么DOM型XSSDOM型XSS实操DOM是什么
DOM就是Document。 文档是由节点构成的集合#xff0c;在DOM里存在许多不同类型的节点#xff0c;主要有#xff1a;元素节点、文本节点#xff0c;属性节点。 元素节点#xff1a;好比 body p h …
DOM型XSSDOM是什么DOM型XSSDOM型XSS实操DOM是什么
DOM就是Document。 文档是由节点构成的集合在DOM里存在许多不同类型的节点主要有元素节点、文本节点属性节点。 元素节点好比 body p h 之类的元素在文档中的布局形成了文档的结构他们就是文档的节点。 文本节点文档通常会包含一些内容这些内容往往由文本提供。好比 h hello h ; 属性节点元素或多或少都会有一些元素属性用于对元素做出更具体的描述。
DOM型XSS
DOM型XSS漏洞是基于文档对象模型(Document Object Model)的一种漏洞。这种XSS与反射型XSS、持久型XSS在原理上有本质区别它的攻击代码并不需要服务器解析响应触发XSS靠的是浏览器端的DOM解析。客户端上的JavaScript脚本可以访问浏览器的DOM并修改页面的内容不依赖服务器的数据直接从浏览器端获取数据并执行。在客户端直接输出DOM内容的时候极易触发DOM型XSS漏洞如 document.getElementByld(“x” ).innerHTML、document.write等。 特点非持久型 数据流向URL-浏览器
DOM型XSS实操
初级难度 可以发现每当这个下拉框中选择什么default后面就会显示什么那就使用报错语句进行测试 这里可以看出“default”后面的内容就是页面要输出的内容。
中级难度 然后查看页面源代码发现输入的话有一个尖角号闭合的问题 现在尝试输入123 /option /select img src1 οnerrοralert(111) 高级难度 在这里使用#对后面的内容进行过滤数据库就不会对后面的内容进行操作但是到达客户端的时候会被浏览器解析于是就显示到了页面上了。
