DOM XSS

Reading time: 13 minutes

tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

DOM 漏洞

DOM 漏洞发生在来自攻击者控制的 sources(如 location.searchdocument.referrerdocument.cookie)的数据不安全地传输到 sinks 时。Sinks 是可以执行或渲染有害内容的函数或对象(例如 eval()document.body.innerHTML),如果给定恶意数据。

  • Sources 是可以被攻击者操控的输入,包括 URL、cookies 和网页消息。
  • Sinks 是潜在危险的端点,恶意数据可能导致不良后果,例如脚本执行。

风险在于数据从源流向汇时没有适当的验证或清理,从而使攻击如 XSS 成为可能。

note

您可以在 https://github.com/wisec/domxsswiki/wiki 找到更更新的 sources 和 sinks 列表

常见 sources:

javascript
document.URL
document.documentURI
document.URLUnencoded
document.baseURI
location
document.cookie
document.referrer
window.name
history.pushState
history.replaceState
localStorage
sessionStorage
IndexedDB(mozIndexedDB, webkitIndexedDB, msIndexedDB)
Database

常见的接收点:

开放重定向Javascript 注入DOM 数据操作jQuery
locationeval()scriptElement.srcadd()
location.hostFunction() constructorscriptElement.textafter()
location.hostnamesetTimeout()scriptElement.textContentappend()
location.hrefsetInterval()scriptElement.innerTextanimate()
location.pathnamesetImmediate()someDOMElement.setAttribute()insertAfter()
location.searchexecCommand()someDOMElement.searchinsertBefore()
location.protocolexecScript()someDOMElement.textbefore()
location.assign()msSetImmediate()someDOMElement.textContenthtml()
location.replace()range.createContextualFragment()someDOMElement.innerTextprepend()
open()crypto.generateCRMFRequest()someDOMElement.outerTextreplaceAll()
domElem.srcdoc``本地文件路径操作someDOMElement.valuereplaceWith()
XMLHttpRequest.open()FileReader.readAsArrayBuffer()someDOMElement.namewrap()
XMLHttpRequest.send()FileReader.readAsBinaryString()someDOMElement.targetwrapInner()
jQuery.ajax()FileReader.readAsDataURL()someDOMElement.methodwrapAll()
$.ajax()FileReader.readAsText()someDOMElement.typehas()
``Ajax 请求操作FileReader.readAsFile()someDOMElement.backgroundImageconstructor()
XMLHttpRequest.setRequestHeader()FileReader.root.getFile()someDOMElement.cssTextinit()
XMLHttpRequest.open()FileReader.root.getFile()someDOMElement.codebaseindex()
XMLHttpRequest.send()链接操作someDOMElement.innerHTMLjQuery.parseHTML()
jQuery.globalEval()someDOMElement.hrefsomeDOMElement.outerHTML$.parseHTML()
$.globalEval()someDOMElement.srcsomeDOMElement.insertAdjacentHTML客户端 JSON 注入
``HTML5 存储操作someDOMElement.actionsomeDOMElement.oneventJSON.parse()
sessionStorage.setItem()XPath 注入document.write()jQuery.parseJSON()
localStorage.setItem()document.evaluate()document.writeln()$.parseJSON()
**[**拒绝服务**](dom-xss.md#denial-of-service)**someDOMElement.evaluate()document.title``Cookie 操作
requestFileSystem()``文档域操作document.implementation.createHTMLDocument()document.cookie
RegExp()document.domainhistory.pushState()WebSocket-URL 中毒
客户端 SQL 注入Web 消息操作history.replaceState()WebSocket
executeSql()postMessage()````

innerHTML 接收点在任何现代浏览器中都不接受 script 元素,也不会触发 svg onload 事件。这意味着您需要使用替代元素,如 imgiframe

这种类型的 XSS 可能是 最难发现的,因为您需要查看 JS 代码,看看它是否 使用 任何您 控制 的对象,并在这种情况下,查看是否有 任何方法可以滥用 它以执行任意 JS。

查找工具

示例

开放重定向

来自:https://portswigger.net/web-security/dom-based/open-redirection

DOM 中的开放重定向漏洞 发生在脚本将攻击者可以控制的数据写入能够跨域发起导航的接收点时。

理解执行任意代码(例如 javascript:alert(1))是可能的,如果您控制重定向发生的 URL 开头,这是至关重要的。

接收点:

javascript
location
location.host
location.hostname
location.href
location.pathname
location.search
location.protocol
location.assign()
location.replace()
open()
domElem.srcdoc
XMLHttpRequest.open()
XMLHttpRequest.send()
jQuery.ajax()
$.ajax()

来自: https://portswigger.net/web-security/dom-based/cookie-manipulation

基于DOM的cookie操控漏洞发生在脚本将攻击者可以控制的数据纳入cookie的值时。如果在网站内使用该cookie,这个漏洞可能导致网页出现意外行为。此外,如果cookie涉及用户会话跟踪,它可以被利用来进行会话固定攻击。与此漏洞相关的主要接收点是:

Sinks:

javascript
document.cookie

JavaScript 注入

来自: https://portswigger.net/web-security/dom-based/javascript-injection

基于 DOM 的 JavaScript 注入漏洞是在脚本将可以被攻击者控制的数据作为 JavaScript 代码运行时产生的。

Sinks:

javascript
eval()
Function() constructor
setTimeout()
setInterval()
setImmediate()
execCommand()
execScript()
msSetImmediate()
range.createContextualFragment()
crypto.generateCRMFRequest()

Document-domain manipulation

From: https://portswigger.net/web-security/dom-based/document-domain-manipulation

文档域操控漏洞发生在脚本使用攻击者可以控制的数据设置document.domain属性时。

document.domain属性在浏览器的同源策略执行中发挥着关键作用。当来自不同源的两个页面将其document.domain设置为相同的值时,它们可以不受限制地相互交互。尽管浏览器对可分配给document.domain的值施加了某些限制,防止将完全不相关的值分配给实际页面源,但仍然存在例外。通常,浏览器允许使用子域父域

Sinks:

javascript
document.domain

WebSocket-URL 中毒

来自: https://portswigger.net/web-security/dom-based/websocket-url-poisoning

WebSocket-URL 中毒 发生在脚本将 可控数据作为 WebSocket 连接的目标 URL 使用时。

Sinks:

WebSocket 构造函数可能导致 WebSocket-URL 中毒漏洞。

链接操控

来自: https://portswigger.net/web-security/dom-based/link-manipulation

基于 DOM 的链接操控漏洞 出现于脚本将 攻击者可控的数据写入当前页面的导航目标,例如可点击的链接或表单的提交 URL。

Sinks:

javascript
someDOMElement.href
someDOMElement.src
someDOMElement.action

Ajax 请求操控

来自: https://portswigger.net/web-security/dom-based/ajax-request-header-manipulation

Ajax 请求操控漏洞 出现于脚本将 攻击者可控的数据写入使用 XmlHttpRequest 对象发出的 Ajax 请求 时。

接收点:

javascript
XMLHttpRequest.setRequestHeader()
XMLHttpRequest.open()
XMLHttpRequest.send()
jQuery.globalEval()
$.globalEval()

本地文件路径操控

来自: https://portswigger.net/web-security/dom-based/local-file-path-manipulation

本地文件路径操控漏洞 出现于脚本将 攻击者可控的数据传递给文件处理API 作为 filename 参数时。攻击者可以利用此漏洞构造一个URL,如果另一个用户访问该URL,可能导致 用户的浏览器打开或写入任意本地文件

Sinks:

javascript
FileReader.readAsArrayBuffer()
FileReader.readAsBinaryString()
FileReader.readAsDataURL()
FileReader.readAsText()
FileReader.readAsFile()
FileReader.root.getFile()
FileReader.root.getFile()

客户端 SQL 注入

来自: https://portswigger.net/web-security/dom-based/client-side-sql-injection

客户端 SQL 注入漏洞 发生在脚本以 不安全的方式将攻击者可控的数据纳入客户端 SQL 查询 时。

Sinks:

javascript
executeSql()

HTML5-storage manipulation

From: https://portswigger.net/web-security/dom-based/html5-storage-manipulation

HTML5-storage manipulation vulnerabilities 出现于脚本 在网页浏览器的 HTML5 存储中存储攻击者可控的数据 (localStoragesessionStorage)。虽然此操作本身并不是安全漏洞,但如果应用程序随后 读取存储的数据并不安全地处理它,则会变得有问题。这可能允许攻击者利用存储机制进行其他基于 DOM 的攻击,例如跨站脚本和 JavaScript 注入。

Sinks:

javascript
sessionStorage.setItem()
localStorage.setItem()

XPath 注入

来自: https://portswigger.net/web-security/dom-based/client-side-xpath-injection

基于 DOM 的 XPath 注入漏洞 发生在脚本将 攻击者可控的数据纳入 XPath 查询 时。

Sinks:

javascript
document.evaluate()
someDOMElement.evaluate()

客户端 JSON 注入

来自: https://portswigger.net/web-security/dom-based/client-side-json-injection

基于 DOM 的 JSON 注入漏洞 发生在脚本将 攻击者可控的数据纳入一个被解析为 JSON 数据结构的字符串中,然后由应用程序处理

Sinks:

javascript
JSON.parse()
jQuery.parseJSON()
$.parseJSON()

Web-message manipulation

来自: https://portswigger.net/web-security/dom-based/web-message-manipulation

Web-message 漏洞 出现于脚本将 攻击者可控的数据作为网络消息发送到浏览器内的另一个文档。一个 示例 的易受攻击的 Web-message 操作可以在 PortSwigger's Web Security Academy 找到。

Sinks:

postMessage() 方法用于发送网络消息,如果接收消息的事件监听器以不安全的方式处理传入数据,可能会导致漏洞。

DOM-data manipulation

来自: https://portswigger.net/web-security/dom-based/dom-data-manipulation

DOM-data 操作漏洞 出现于脚本将 攻击者可控的数据写入 DOM 中的一个字段,该字段在可见的 UI 或客户端逻辑中被使用。攻击者可以利用此漏洞构造一个 URL,如果其他用户访问该 URL,可能会改变客户端 UI 的外观或行为。

Sinks:

javascript
scriptElement.src
scriptElement.text
scriptElement.textContent
scriptElement.innerText
someDOMElement.setAttribute()
someDOMElement.search
someDOMElement.text
someDOMElement.textContent
someDOMElement.innerText
someDOMElement.outerText
someDOMElement.value
someDOMElement.name
someDOMElement.target
someDOMElement.method
someDOMElement.type
someDOMElement.backgroundImage
someDOMElement.cssText
someDOMElement.codebase
document.title
document.implementation.createHTMLDocument()
history.pushState()
history.replaceState()

拒绝服务

来自: https://portswigger.net/web-security/dom-based/denial-of-service

基于DOM的拒绝服务漏洞发生在脚本将攻击者可控的数据不安全地传递给有问题的平台API时。这包括在调用时可能导致用户计算机消耗过多的CPU或磁盘空间的API。这类漏洞可能会产生显著的副作用,例如浏览器通过拒绝尝试在localStorage中存储数据或终止繁忙的脚本来限制网站的功能。

Sinks:

javascript
requestFileSystem()
RegExp()

DOM覆盖

Dom Clobbering

tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks