🍬 博主介紹
- 👨?🎓 博主介紹:大家好,我是 _PowerShell ,很高興認識大家~
- ?主攻領域:【滲透領域】【資料通信】 【通訊安全】 【web安全】【面試分析】
- 🎉點贊?評論?收藏 == 養成習慣(一鍵三連)😋
- 🎉歡迎關注💗一起學習👍一起討論??一起進步📝文末有彩蛋
- 🙏作者水平有限,歡迎各位大佬指點,相互學習進步!
目錄
🍬 博主介紹
一、什么是DOM:(介面)
二、過關:
1. 頁面展示
2. 輸入字符看一下
3. 看網頁原始碼
4. 判斷是否存在xss漏洞:
5. 輸入payload
三、專欄分享
一、什么是DOM:(介面)
可以理解為一個訪問html的一個標準的介面
Html是由很多的標簽組成 在dom里面 把標簽認為是一個dom樹
Dom樹的作用是可以這個dom樹為入口 通過dom提供的一些方法區隊dom樹進行相關的操作 如對某個標簽進行修改 也可以對html里面的其他東西進行添加洗掉重新排列等等
所以說DOM相當于是在前端提供了一個通過javascript區隊整個html鏡像操作的一個介面
二、過關:
1. 頁面展示
2. 輸入字符看一下
提交出現一個看起來像a標簽的東西
3. 看網頁原始碼
看具體做了什么操作 ctrl+f 查找 what do you. See 發現一段javascript代碼
真個意思就是說當我們在這個標簽里面輸入一個字串之后
就會把這個字串通過dom方法 通過字串拼接的方式拼接到a標簽的herf屬性中
這個a標簽會被寫道id=dom的div標簽里面
4. 判斷是否存在xss漏洞:
與存盤型一樣 先確定輸入點 (在input里面)
輸出 dom型 純前端 就不再是后臺輸出
如上圖 輸出 第五點
由上圖原始碼可知 輸入輸出沒有做任何的轉義操作
5. 輸入payload
<a href='"+str+"'>what do you see?</a>
復制原始碼 做對應的分析 構造閉合
<a href='"+str+"'>what do you see?</a>
Str我們輸入的內容
我們可以把輸入部分洗掉
<a href='#’οnclick=”alert(1111)”>'>what do you see?</a>
在個這個地方把前面的a標簽閉合掉
隨便輸入一個字串 單引號 用一個conclik彈一個窗 然后閉合a標簽
#'οnclick="alert(1111)"> 這就是我們構造的payload
經過我們前面的分析 知道
通過dom的方式獲取到我們的輸入 在輸出到div里面
這就是一個簡單的dom型xss漏洞
我們輸入的字串及不會被顯示在url里面也不會被存盤下來
重繪一下就沒了 是一個比較低位的xss
不與后臺進行互動 被dom獲取了
三、專欄分享
每個專欄都在持續更新中~~~
滲透測驗自學篇 web基礎知識點
網路基礎 面試總結
網路工程師 python
作業系統篇 通訊安全
閑聊 漏洞復現篇
代碼審計 SSM
docker 環境搭建篇
python爬蟲 靶場
??????心理學
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/413444.html
標籤:python