1、DOM-XSS 漏洞的挖掘與攻擊面延伸技術(shù)創(chuàng)新，變革未來目錄DOM-XSS 挖掘與利用DOM-XSS 常見位置 DOM-XSS 優(yōu)勢在哪 XSS 巧妙利用DOM-XSS常見位置DOM-XSS 常見位置1、URL代入頁面這類DOM-XSS是最常見的，它的漏洞點通常是以下形式出現(xiàn)DOM-XSS 常見位置它出現(xiàn)的地方比較多，可能會是名稱，地點，標(biāo)題等等。大多數(shù)情況下它和反射型XSS的區(qū)別不大，最大的區(qū)別是取的值不同。此時取值時，匹配的URL是location.href，這個值包含了 location.search 和 location.hash 的值，而 location.hash 的值是不被傳到服

2、務(wù)器，并且能被前端 JS通過 getUrlParam 函數(shù)成功取值。DOM-XSS 常見位置2、跳轉(zhuǎn)在 javascript 語法中，使用如下代碼可以將頁面進(jìn)行跳轉(zhuǎn)操作DOM-XSS 常見位置這樣的跳轉(zhuǎn)通常會出現(xiàn)在登錄頁、退出頁、中間頁。如果開發(fā)者讓用戶可以控制 redirecturl 參數(shù)，就可以使用 javascript:alert(1) 的形式進(jìn)行XSS攻擊。最近幾年的APP開發(fā)比較熱門，通過web喚起APP的操作也是越來越多，跳轉(zhuǎn)的協(xié)議也 是多種多樣，例如 webview:/ , myappbridge:/等等。僅僅使用 http 和 https 來判斷URL是否合法已經(jīng)不適用了，于是

3、由跳轉(zhuǎn)所產(chǎn)生的DOM-XSS漏洞也逐漸增多。DOM-XSS 常見位置3、postMessagepostMessage 支持跨域使用，使用場景比較廣泛，如支付成功、登錄、退出、喚起APP等等。這段代碼中，監(jiān)聽了message事件，取了 e.data 的值，也就是來自于其他頁面 上的message消息，但是沒有檢測來源。如果頁面允許被嵌套，即可嵌套該頁面， 再使用 window0.postMessage 即可向該窗口發(fā)送數(shù)據(jù)。DOM-XSS 常見位置DOM-XSS 常見位置4、 與其他 window 對象不同，它在窗口刷新后會保留。當(dāng)這個頁面刷新跳轉(zhuǎn)到其他網(wǎng)站時，如果這個網(wǎng)站沒有對 進(jìn)行設(shè)置，那么

4、當(dāng)前的值仍然是FooDOM-XSS 常見位置5、緩存開發(fā)者在緩存前端數(shù)據(jù)的時候，通常會存在 sessionStorage , localStorage , cookie 中，因為 sessionStorage 在頁面刷新時就失效的特性，利用方式相對簡單的 只有后面兩種。DOM-XSS 常見位置Cookie根據(jù)瀏覽器的同源策略，Cookie是可以被子域名讀到的。 一旦我們發(fā)現(xiàn)在 /setCookie.php?key=username&value=nick 下可以設(shè)置Cookie, 就可以結(jié)合一些讀取Cookie的頁面進(jìn)行XSS攻擊。DOM-XSS 常見位置localStoragelocalSto

5、rage 的特性和Cookie類似，但它和Cookie不同的是，Cookie被設(shè)置過之后， 具有有效期這個特性，而localStorage被設(shè)置過后，只要不手動清除或覆蓋，這個值永遠(yuǎn) 不會消失。Cookie中通常會存放少量的緩存信息，像用戶的頭像URL，用戶名等等，而localStorage 中通常會存放一些大量，需要重復(fù)加載的數(shù)據(jù)，如搜索歷史記錄，緩存JS代碼等等。這些 值被修改過以后，大部分開發(fā)者都不會去校驗它的合法性，是否被修改過。DOM-XSS 優(yōu)勢在哪DOM-XSS 優(yōu)勢在哪避開WAF正如我們開頭講的第一種DOM-XSS，可以通過 location.hash 的方式，將參數(shù)寫在 #號

6、后，既能讓JS讀取到該參數(shù)，又不讓該參數(shù)傳入到服務(wù)器，從而避免了WAF的檢測?？梢允褂?ja%0avasc%0aript:alert(1) , jx61vascript:alert(1) 的形式繞過。可以利用 postMessage,localStorage 等攻擊點進(jìn)行XSS攻擊的，攻擊代 碼不會經(jīng)過WAF。DOM-XSS 優(yōu)勢在哪長度不限當(dāng)我們可以用當(dāng)前頁面的變量名作為參數(shù)時，可以使用 的方式進(jìn)行攻擊。DOM-XSS 優(yōu)勢在哪隱蔽性強(qiáng)攻擊代碼可以具有隱蔽性，持久性。例如使用Cookie和localStorage作為攻擊點的DOM-XSS，非常難以察覺，且持續(xù)的時間 長。XSS 巧妙利用Ch

7、rome Apichromium支持開發(fā)者擴(kuò)展api。廠商在開發(fā)瀏覽器的時候，或是為了自己的業(yè)務(wù)需求，或是 出于用戶體驗，會給瀏覽器擴(kuò)展上一些自己的接口，這些接口比較隱蔽，且只接口來自于信 任域名的數(shù)據(jù)。但是如果有一個特殊域名下的XSS，或者這個特殊域名可以被跨域，甚至可以找任意一個當(dāng)前 域名的XSS對它進(jìn)行攻擊。遍歷chrome對象通過以下代碼就可以對當(dāng)前頁面下的 chrome 對象進(jìn)行遍歷。XSS IN BROWSER有一款瀏覽器，它的接口特別豐富，現(xiàn)在給大家分享以下之前的調(diào)試過程。案例一首先從業(yè)務(wù)入手，找到了一個叫做game.html的頁面，觀察到頁面上大部分是游戲，使用 了上面的代碼對

8、chrome對象進(jìn)行遍歷之后，發(fā)現(xiàn)了browser_game_api的對象，這個繼續(xù) 遍歷這個api，看它有哪些變量、函數(shù)和對象。Download And Run這時候發(fā)現(xiàn)了一個函數(shù)叫做 downloadAndRun ，從函數(shù)名來看，這個函數(shù)執(zhí)行的操作是比較危險的。那么這些函數(shù)的參數(shù)是什么的，暫時不知道，就需要從這個特殊域名下面的頁面中去找。 根 據(jù)函數(shù)名搜索，很快就找到了這個函數(shù)調(diào)用的地方。于是構(gòu)造攻擊代碼：跨域調(diào)用又因為這個站點將自己的 domain 設(shè)置成了 ，于是我們可以通過其他 下的XSS來調(diào)用它頁面下的接口。利用:首先發(fā)現(xiàn)了 / 下的一個XSS，利用XSS將當(dāng)前頁面的documen

9、t.domain 設(shè)置為 ，這樣它就和 game.html 同域了。Run Putty接下來在XSS頁面執(zhí)行以下代碼，即可在新的窗口彈出 putty.exe 。案例二繼續(xù)遍歷Api，又發(fā)現(xiàn)了一個特殊的接口，用于設(shè)置用戶的偏好，其中就包含設(shè)置下載目錄。Start Up于是想到了另一種攻擊方式，就是通過調(diào)用它自帶的設(shè)置偏好接口，將用戶的下載目錄設(shè)置 為window的啟動目錄 C:UsersUserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupSet Download Path同樣的，找到一個 下的XSS，將自身的 domain 設(shè)置成

10、 ，再使用 window.opener 的方式，調(diào)用特殊權(quán)限頁面的接口進(jìn)行攻擊。案例三早在2014年12月12日，Rapid7報告了一個漏洞。利用瀏覽器的UXSS實現(xiàn)在 Android 4.3 或更低版本的系統(tǒng)上安裝任意APP。利用三部曲第一點：使用了UXSS作為攻擊手段，在 下調(diào)用安裝APP的代碼。利用三部曲第二點：利用了 的可被嵌套的缺陷。我們知道在Android上是沒有 window.opener 這個屬性的，不能通過 window.open 一個窗口再調(diào)用它的函數(shù)。還有 一種利用的方式是通過 iframe 對它進(jìn)行調(diào)用。利用三部曲第三點： 的安裝機(jī)制，是在用戶登錄了瀏覽器之后就可以喚起 Google Play 進(jìn) 行安裝。Install package來看一下完整的攻擊流程首先攻擊者注冊成為Google開發(fā)者，在應(yīng)用市場上發(fā)布了一款叫做bac