2018年DOM-XSS漏洞的挖掘与攻击面延伸.pdf

1、DOM-XSS 漏洞的挖掘与攻击面延伸目录DOM-XSS 挖掘与利用DOM-XSS 常见位置DOM-XSS 优势在哪XSS 巧妙利用DOM-XSS常见位置DOM-XSS 常见位置1、URL代入页面这类DOM-XSS是最常见的，它的漏洞点通常是以下形式出现DOM-XSS 常见位置它出现的地方比较多，可能会是名称，地点，标题等等。大多数情况下它和反射型XSS的区别不大，最大的区别是取的值不同。此时取值时，匹配的URL是location.href，这个值包含了 location.search 和location.hash 的值，而 location.hash 的值是不被传到服务器，并且能被前端JS通

2、过 getUrlParam 函数成功取值。DOM-XSS 常见位置2、跳转在 javascript 语法中，使用如下代码可以将页面进行跳转操作DOM-XSS 常见位置这样的跳转通常会出现在登录页、退出页、中间页。如果开发者让用户可以控制 redirecturl 参数，就可以使用 javascript:alert(1)的形式进行XSS攻击。最近几年的APP开发比较热门，通过web唤起APP的操作也是越来越多，跳转的协议也是多种多样，例如 webview:/,myappbridge:/等等。仅仅使用 http 和 https 来判断URL是否合法已经不适用了，于是由跳转所产生的DOM-XSS漏洞也

3、逐渐增多。3、postMessageDOM-XSS 常见位置postMessage 支持跨域使用，使用场景比较广泛，如支付成功、登录、退出、唤起APP等等。这段代码中，监听了message事件，取了 e.data 的值，也就是来自于其他页面上的message消息，但是没有检测来源。如果页面允许被嵌套，即可嵌套该页面，再使用 window0.postMessage 即可向该窗口发送数据。DOM-XSS 常见位置DOM-XSS 常见位置4、window.namewindow.name 与其他 window 对象不同，它在窗口刷新后会保留。当这个页面刷新跳转到其他网站时，如果这个网站没有对 wind

4、ow.name 进行设置，那么当前window.name的值仍然是FooDOM-XSS 常见位置5、缓存开发者在缓存前端数据的时候，通常会存在 sessionStorage,localStorage,cookie 中，因为 sessionStorage 在页面刷新时就失效的特性，利用方式相对简单的只有后面两种。DOM-XSS 常见位置Cookie根据浏览器的同源策略，Cookie是可以被子域名读到的。一旦我们发现在http:/ 下可以设置Cookie,就可以结合一些读取Cookie的页面进行XSS攻击。DOM-XSS 常见位置localStoragelocalStorage 的特性和Cooki

5、e类似，但它和Cookie不同的是，Cookie被设置过之后，具有有效期这个特性，而localStorage被设置过后，只要不手动清除或覆盖，这个值永远不会消失。Cookie中通常会存放少量的缓存信息，像用户的头像URL，用户名等等，而localStorage中通常会存放一些大量，需要重复加载的数据，如搜索历史记录，缓存JS代码等等。这些值被修改过以后，大部分开发者都不会去校验它的合法性，是否被修改过。DOM-XSS 优势在哪DOM-XSS 优势在哪避开WAF正如我们开头讲的第一种DOM-XSS，可以通过 location.hash 的方式，将参数写在#号后，既能让JS读取到该参数，又不让该参

6、数传入到服务器，从而避免了WAF的检测。可以使用 ja%0avasc%0aript:alert(1),jx61vascript:alert(1)的形式绕过。可以利用 postMessage,window.name,localStorage 等攻击点进行XSS攻击的，攻击代码不会经过WAF。DOM-XSS 优势在哪长度不限当我们可以用当前页面的变量名作为参数时，可以使用 的方式进行攻击。DOM-XSS 优势在哪隐蔽性强攻击代码可以具有隐蔽性，持久性。例如使用Cookie和localStorage作为攻击点的DOM-XSS，非常难以察觉，且持续的时间长。XS