温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Web网络安全漏洞的DOM型XSS攻击原理是什么

发布时间:2021-11-03 11:08:02 来源:亿速云 阅读:227 作者:iii 栏目:开发技术

这篇文章主要介绍“Web网络安全漏洞的DOM型XSS攻击原理是什么”,在日常操作中,相信很多人在Web网络安全漏洞的DOM型XSS攻击原理是什么问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”Web网络安全漏洞的DOM型XSS攻击原理是什么”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

DOM型XSS攻击

DOM型XSS攻击页面实现的功能是在“输入”框中输入信息,单击“替换”按钮时,页面会将“这里会显示输入的内容”替换为输入的信息,例如当输入“11”的时候,页面将“这里会显示输入的内容”替换为“11”,如图75和图76所示。

Web网络安全漏洞的DOM型XSS攻击原理是什么

图75 HTML页面

Web网络安全漏洞的DOM型XSS攻击原理是什么

图76 替换功能

当输入<img src=1 οnerrοr=“alert(/xss/)”/>时,单击“替换”按钮,页面弹出消息框,如图77所示。

Web网络安全漏洞的DOM型XSS攻击原理是什么

图77 DOM XSS

从HTML源码中可以看到,存在JS函数tihuan(),该函数的作用是通过DOM操作将元素id1(输出位置)的内容修改为元素dom_input(输入位置)的内容。

DOM型XSS代码分析

DOM型XSS程序只有HTML代码,并不存在服务器端代码,所以此程序并没有与服务器端进行交互,代码如下所示。

<html>
<head>
    <meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
    <title>Test</title>
    <script type="text/javascript">
        function tihuan()
        {
            document.getElementById("id1").innerHTML = document.getElementById("dom_input").value;
        }
    </script>
</head>
<body>
    <center>
    <h7 id="id1">这里会显示输入的内容</h7>
    <form action="" method="post">
        <input type="text" id="dom_input" value="输入"><br />
        <input type="button" value="替换" onclick="tihuan()">
    </form>
    <hr>
    </center>
</body>
</html>

单击“替换”按钮时会执行JavaScript的tihuan()函数,而tihuan()函数是一个DOM操作,通过document.getElementByld的id1的节点,然后将节点id1的内容修改成id为dom_input中的值,即用户输入的值。当输入<img src=1 οnerrοr=“alert(/xss/)”/>时,单击“替换”按钮,页面弹出消息框,但由于是隐式输出的,所以在查看源代码时,看不到输出的XSS代码。

到此,关于“Web网络安全漏洞的DOM型XSS攻击原理是什么”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

web
AI