寻找DOM-XSS的几个技巧总结

admin 2023年7月11日01:13:55评论13 views字数 474阅读1分34秒阅读模式

寻找DOM-XSS的几个技巧总结

技巧汇总

手动代码审计

检查客户端代码(包括 JavaScript 文件)主要是搜索不安全的编码模式。重点关注操作 DOM 的函数,例如innerHTML、document.write 或eval,因为它们可能是潜在的漏洞来源。

使用DOM invader这个插件

利用 @PortSwigger的DOM Invader 这种类型的插件或者工具来测试 DOM XSS 漏洞

寻找用户控制的输入

对应用程序的源代码进行手动或自动分析,以识别潜在的基于 DOM 的 XSS 漏洞。查找直接或间接用于修改 DOM 的用户控制输入。

污点分析

采用污点分析技术来跟踪整个 JavaScript 执行流程中用户控制的输入。识别所有不安全的数据流,其中受污染的输入未经合理的清理或输出编码就能到达脆弱的 DOM 函数或属性。

参数操作

操作 URL 参数和表单输入以检查它们是否直接用于 DOM 操作。分析应用程序的响应,以确定输入是否在没有正确编码或清理的情况下呈现,从而可能导致基于 DOM 的 XSS。

更多请参考dom-xss精选文章

原文始发于微信公众号(迪哥讲事):寻找DOM-XSS的几个技巧总结

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月11日01:13:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   寻找DOM-XSS的几个技巧总结http://cn-sec.com/archives/1867564.html

发表评论

匿名网友 填写信息