Web网络安全漏洞分析DOM型XSS攻击原理
更新时间:2021年11月03日 10:12:54 作者:Phanton03167
这篇文章主要为大家介绍了Web网络安全漏洞分析DOM型XSS攻击的原理详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
DOM型XSS攻击
DOM型XSS攻击页面实现的功能是在“输入”框中输入信息,单击“替换”按钮时,页面会将“这里会显示输入的内容”替换为输入的信息,例如当输入“11”的时候,页面将“这里会显示输入的内容”替换为“11”,如图75和图76所示。
图75 HTML页面
图76 替换功能
当输入<img src=1 οnerrοr=“alert(/xss/)”/>时,单击“替换”按钮,页面弹出消息框,如图77所示。
图77 DOM XSS
从HTML源码中可以看到,存在JS函数tihuan(),该函数的作用是通过DOM操作将元素id1(输出位置)的内容修改为元素dom_input(输入位置)的内容。
DOM型XSS代码分析
DOM型XSS程序只有HTML代码,并不存在服务器端代码,所以此程序并没有与服务器端进行交互,代码如下所示。
<html>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
<title>Test</title>
<script type="text/javascript">
function tihuan()
{
document.getElementById("id1").innerHTML = document.getElementById("dom_input").value;
}
</script>
</head>
<body>
<center>
<h6 id="id1">这里会显示输入的内容</h6>
<form action="" method="post">
<input type="text" id="dom_input" value="输入"><br />
<input type="button" value="替换" onclick="tihuan()">
</form>
<hr>
</center>
</body>
</html>
单击“替换”按钮时会执行JavaScript的tihuan()函数,而tihuan()函数是一个DOM操作,通过document.getElementByld的id1的节点,然后将节点id1的内容修改成id为dom_input中的值,即用户输入的值。当输入<img src=1 οnerrοr=“alert(/xss/)”/>时,单击“替换”按钮,页面弹出消息框,但由于是隐式输出的,所以在查看源代码时,看不到输出的XSS代码。
以上就是Web网络安全漏洞分析DOM型XSS攻击原理的详细内容,更多关于Web网络安全漏洞DOM型XSS攻击的资料请关注脚本之家其它相关文章!
相关文章
Windows下病毒木马基本防御和解决方案...2007-03-03
这篇文章主要介绍了常见的反爬虫urllib技术分享,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-04-04
这篇文章主要为大家讲解介绍了Web网络安全分析二次注入攻击原理的详解,有需要相关学习的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步2021-11-11
解读什么是防火墙...2007-02-02
端口关闭的方法图文教程...2007-03-03
这篇文章主要为大家介绍了Web网络安全分析XFF注入攻击原理的详解,有需要的朋友可以借鉴参考下希望能够有所帮助,祝大家多多进步早日升职加薪2021-11-11
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,下面这篇文章主要给大家介绍了关于SQL注入详细讲解的相关资料,需要的朋友可以参考下2023-03-03
本文讲解了SQL注入的原理、特点、危害,SQL注入的攻击手法和MySQL注入的常用函数,讲解相关工具,如何去防御SQL注入,带大家了解了解SQL注入相关概念,掌握SQL注入攻击手法,了解SQL注入相关工具和防御方法2021-09-09
在互联网发达的今天,各种水平的程序用应时而生,不注重安全,导致很多网站都被挂马,这样的一句话后门是黑客最喜欢的,隐藏性好,这里将代码分享给大家,大家可以通过查找工具查找替换2012-04-04
诡异的中毒现象2008-06-06
最新评论