DOM-XSS挖掘与攻击面延伸-陈思涛.pdfVIP

DOM-XSS 漏洞的挖掘与攻击面延伸 陈思涛 北京长亭科技有限公司深圳分公司Web安全研究员 目录 DOM-XSS 挖掘与利用 DOM-XSS 常见位置 DOM-XSS 优势在哪 XSS 巧妙利用 DOM-XSS常见位置 DOM-XSS 常见位置 1、URL代入页面 这类DOM-XSS是最常见的，它的漏洞点通常是以下形式出现 DOM-XSS 常见位置 它出现的地方比较多，可能会是名称，地点，标题等等。 大多数情况下它和反射型XSS的区别不大，最大的区别是取的值不同。 此时取值时，匹配的URL是location.href，这个值包含了 location.search 和 location.hash 的值，而 location.hash 的值是不被传到服务器，并且能被前端 JS通过 getUrlParam 函数成功取值。 DOM-XSS 常见位置 2、跳转 在 javascript 语法中，使用如下代码可以将页面进行跳转操作 DOM-XSS 常见位置 这样的跳转通常会出现在登录页、退出页、中间页。 如果开发者让用户可以控制 redirecturl 参数，就可以使 用 javascript:alert(1) 的形式进行XSS攻击。 最近几年的APP开发比较热门，通过web唤起APP的操作也是越来越多，跳转的协议也 是多种多样，例如 webview:// , myappbridge://等等。 仅仅使用 http 和 https 来判断URL是否合法已经不适用了，于是由跳转所产生的 DOM-XSS漏洞也逐渐增多。 DOM-XSS 常见位置 3、postMessage postMessage 支持跨域使用，使用场景比较广泛，如支付成功、登录、退出、唤起 APP等等。 这段代码中，监听了message事件，取了 e.data 的值，也就是来自于其他页面 上的message消息，但是没有检测来源。如果页面允许被嵌套，即可嵌套该页面， 再使用 window[0].postMessage 即可向该窗口发送数据。 DOM-XSS 常见位置 DOM-XSS 常见位置 4、 与其他 window 对象不同，它在窗口刷新后会保留。 当这个页面刷新跳转到其他网站时，如果这个网站没有对 进行设置，那么当前 的值仍然是Foo DOM-XSS 常见位置 5、缓存 开发者在缓存前端数据的时候，通常会存在 sessionStorage , localStorage , cookie 中，因为 sessionStorage 在页面刷新时就失效的特性，利用方式相对简单的 只有后面两种。 DOM-XSS 常见位置 Cookie 根据浏览器的同源策略，Cookie是可以被子域名读到的。 一旦我们发现在 /setCookie.php?key=usernamevalue=nick 下可以设置Cookie, 就可以结合一些读取Cookie的页面进行XSS攻击。 DOM-XSS 常见位置 localStorage localStorage 的特性和Cookie类似，但它和Cookie不同的是，Cookie被设置过之后， 具有有效期这个特性，而localStorage被设置过后，只要不手动清除或覆盖，这个值永远 不会消失。 Cookie中通常会存放少量的缓存信息，像用户的头像URL，用户名等等，而localStorage 中通常会存放一些大量，需要重复加载的数据，如有哪些信誉好的足球投注网站历史记录，缓存JS代码等等。这些 值被修改过以后，大部分开发者都不会去校验它的合法性，是否被修改过。 DOM-XSS 优势在哪 DOM-XSS 优势在哪 避开WAF 正如我们开头讲的第一种DOM-XSS，可以通过 location.hash 的方式，将参数写在 # 号后，既能让JS读取到该参数，又不让该参数传入到服务器，从而避免了WAF的检测。 可以使用 ja%0avasc%0aript:alert(1) , j\x61vascript:alert(1) 的形式绕过。 可以利用 postMessage,,