安全小课堂四十七期型.pdfVIP

安全小课堂第四十七期【DOM型XSS解析】

DOM型XSS解析经常有描述说“DOMXSS是反射型XSS的一种“，但这种说法实际上是有误的，那到底什么是DOM

XSS呢，以及DOMXSS特性是怎么样的呢？安全小课堂第四十七期，JSRC邀请了PX1624师傅来给大家解析

DOM型XSS.。感谢PX1624师傅的，以及JSRC子苦司马，ANT，齐迹、DragonEgg的讨论。

讲师简介PX1624：JSRC子，安全经验5年，目前在网络公司就职高级工程师。

擅长web安全，精通xss，账户体系安全相关问题的挖掘。

大学专业土木工程，毕业后在工地搬砖了2年转行到了行业。

DOM-basedXSS是什么呢？PX1624shifu能给大家简单介绍一下么？

京安小妹DOM-basedXSS是XSS（跨站共计）的一种。按照这个角度来分，XSS可以分为DOMXSS和非

DOMXS。

说的简单点，就是由于DOM的操作，所产生的XSS

看到很多文章说DOMXSS是属于反射XSS的一种，这种观点其实是错误的。

一般情况下出现DOMXSS的大多数是获取参数，然后经过一系列的措施，最后DOM输出。所以反射的比较多，但

是如果参数是post传入的，然后最后执行了DOM操作的话，这种多半都是型了。

也可能是型没法自己化扫描，所以案例少吧，或者大部分人都是黑盒盲测的，所以就算是个DOM的型，

自己也不知道。

讲师：PX1624DOM-basedXSS如何形成的呢京安小妹由于DOM的操作过程没有过滤特殊字符，然后产生XSS。这

里先说下啥是DOM吧，就像一个树一样，每个就是一个分支，dom包括xml和html我们经常遇到的是html

的，

html的DOM说的就是是关于如何获取、修改、添加或删除html元素的问题，也就是所谓的动态控制。

然后我们经常可以见到js中的一些代码比如document.write、innerHTML、eval等，比如一些代码会这么写

$(xx).innerHTML=axxxxxxxxx/a;然后xxxxxxxx部分是输入的部分，代码的用处就是动态创建输出一些

之类的东⻄，那么如果这个时候我们输入的是imgsrc=xonerror=alert(1)这种东⻄，那么就会被直接输出解

析形成XSS。

讲师：PX1624子观点我们之前就遇到一个案例后端程序员转义了，前端程序员用innerHTML给还原回去导

致了问题。

DOM-basedXSS有什么危害呢？

京安小妹首先和其他XSS反射XSS一样的东⻄这里就不提了，说说不一样的点。很多时候DOMXSS是不经过

服务端的，这种时候如果只看服务端的日志和数据库的东⻄排查，是很难排查到的。

其次，domxss一般情况下，是通杀浏览器的，当然有的特殊情况的domxss会被谷歌浏览器，还有的只支持低

版本的IE，DOMXSS的经常是中招的时候就执行XSS，但是由于是前端DOM操作导致的，所以不会留下啥痕

迹。

大概就这些吧，其他盗取获取数据蠕虫啥的，基本上非DOM的可以的DOMXSS也都可以。但实际上

是存在DOMXSS的。

讲师：PX1624DOM-basedXSS与型XSS、反射型XSS的区别有哪些呢？

京安小妹反射是一种分法，DOM非DOM是另一种分法，还有flash和非flash又是别的分发。所以这个问题

是不严谨的。

讲师：PX1624子提问服务器没有痕迹，这种情况下怎么排查啊？靠主动发现，比如evaldocument.write

innerHTML还有jq中的html()等等存在dom操作的代码，排查下整个过程输入到输出有没有过滤好。

讲师：PX1624子观点所以对js代码进行审计还是相当有必要的。

本期JSRC安全小课堂到此结束。内容请期待下期安全小课堂如果还有你希望出现在安全小课堂内容暂时未出

现，也欢迎留言告诉我们。

安全小课堂的往期内容开通了自助查询，回复“安全小课堂”或者点击阅读原文进行查看。

最后，时间