DOM型XSS实战分析

Posted i春秋

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了DOM型XSS实战分析相关的知识,希望对你有一定的参考价值。


课程早知道—上篇

新番嗨课

No.1 Web入侵检测与漏洞感知系统(企安殿新课)

No.2 【2017KCon洞见未来】探索虚拟化技术在漏洞检测中的应用(企安殿新课)

No.3 【2017KCon洞见未来】第五代加固技术ARM VMP原理实现与应用(企安殿新课)

No.4 【2017KCon洞见未来】如何DIY一套低成本反无人机系统(企安殿新课)

火热连载

No.1 信息安全等级保护-实战篇

No.2 教你玩转XSS漏洞

No.3 Python安全工具开发应用


DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。

DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。


在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说,客户端的脚本程序可以通过DOM来动态修改页面内容,从客户端获取DOM中的数据并在本地执行。基于这个特性,就可以利用JS脚本来实现XSS漏洞的利用。

DOM型XSS实战分析

DOM 是遵循 W3C(万维网联盟)的标准。

DOM 定义了访问 html 和 XML 文档的标准:

"W3C 文档对象模型 (DOM) 是中立于平台和语言的接口,它允许程序和脚本动态地访问和更新文档的内容、结构和样式。"

W3C DOM 标准被分为 3 个不同的部分:

-核心 DOM - 针对任何结构化文档的标准模型

-XML DOM - 针对 XML 文档的标准模型

-HTML DOM - 针对 HTML 文档的标准模型


你对DOM型XSS漏洞是否有一定的认识呢?为更好的了解DOM型XSS漏洞,让我们来学习一下本周《教你玩转XSS漏洞》的最新章节“DOM型XSS实战详解”吧~

DOM型XSS实战分析

新番嗨课

DOM型XSS实战分析

No.1 Web入侵检测与漏洞感知系统(企安殿新课)(星期一)

推荐指数:★★★

关键词:产品定位、检测流程、功能架构

WebIDS,是安赛在对“Web应用周期”和“Web漏洞攻防实践”的深度理解的基础上,基于“全流量镜像技术”及“大数据处理技术”研发的一套Web入侵检测及漏洞感知系统。

本次课程邀请到安赛售前工程师王玉藏为大家带来Web入侵检测与漏洞感知系统的介绍。王玉藏,女,燕山大学通信与信息系统工学硕士学位,到目前已有两年信息安全从业经验,现在就职于北京安赛创想科技有限公司(简称:安赛)。目前,安赛的技术能力已被数十家大型互联网企业、十多个部委,及各大信息安全主管部门采用并发挥了重要作用,具备极高的口碑和知名度。

讲师在第一部分详细讲解了安赛的发展历程、技术研究、资质与荣誉,以及合作用户,第二部分从产品定位、检测流程、功能架构、技术优势、用户价值和产品界面展示6个方面介绍了WebIDS,第三个部分讲了2个关于Web入侵检测与漏洞感知系统典型案例,最后针对银行业和金融行业的客户需求提出了针对性的解决方案,提升其网站业务应用安全保障能力。


DOM型XSS实战分析

No.2 【2017KCon洞见未来】探索虚拟化技术在漏洞检测中的应用(企安殿新课)(星期三)

推荐指数:★★★

关键词:VT 对抗反虚拟机技术

KCon 黑客大会2017主题为“洞见未来”,恰逢知道创宇成立十周年。知道创宇CEO赵伟在开场致辞中表示, KCon 连年举办,在技术圈里打造了自己的知名口碑,主要就是两点:一个是干货,议题质量一定要好,另外一个就是有趣,要打造属于自己的而又能让参会者喜欢的风格。

作为广受技术爱好者们好评的纯技术会议,今年KCon汇聚了很多前沿且有趣的议题,各路大咖轮番登场,展现了白帽们的智慧和极客精神。本次课程演讲者是具有10年以上的网络安全从业经验的漏洞安全研究员——仙果,他带来的议题是《索虚拟化技术在漏洞检测中的应用》。

漏洞安全研究员仙果介绍了建立在硬件虚拟化技术上,并使用这种攻防对抗的技术来检测漏洞的方法。具体有以下几点:1.使用 VT 对抗反虚拟机技术;2.EPT 技术打开了一个新的大门,在传统的系统中,内存要想执行,就必须具备可执行+可读的权限,EPT 的出现,可以把执行属性和可读属性区分开来。指令跟踪技术通过 MTF,EPT 等各种手法可以做到指令跟踪(包括内核指令)。从程序执行指令流来检测漏洞;3. 还可以用来跟踪 shellcode 执行流;4. 模拟器具备更灵活的检测思路,例如利用模拟器来 FUZZ,可以检测内核信息泄漏之类的漏洞。


DOM型XSS实战分析

No.3 【2017KCon洞见未来】第五代加固技术ARM VMP原理实现与应用(企安殿新课)(星期三)

推荐指数:★★★

关键词:营销作弊、代码被篡改、数据泄密

KCon 连年举办,在技术圈里打造了自己的知名口碑,主要就是两点:一个是干货,议题质量一定要好,另外一个就是有趣,要打造属于自己的而又能让参会者喜欢的风格。

作为广受技术爱好者们好评的纯技术会议,今年KCon汇聚了很多前沿且有趣的议题,各路大咖轮番登场,展现了白帽们的智慧和极客精神。本次课程演讲者是陈愉鑫,他曾在知道创宇 IA 实验室负责 android 病毒自动化分析,同时也是吾爱论坛移动分区版主,i春秋线下特种行业班讲师。这名年仅 16 岁的少年黑客为大家带来《第五代加固技术 ARM VMP 原理实现与应用》议题分享。

陈愉鑫在议题中讲到,营销作弊、代码被篡改、数据泄密等安全问题集中爆发,保护核心代码迫在眉睫。纵观加固技术发展历史,传统的保护方法已经难以满足眼下的安全保护需求。基于 ARM 平台的 VM 代码虚拟化保护技术能更好的保护 Android 原生库及其它大部分运行在 ARM 芯片上的原生代码,陈愉鑫从 VM 指令集的设计、VM 解释器的设计以及 VM 编译器的设计充分阐明了 ARM 虚拟化保护的原理与实现方法。


DOM型XSS实战分析

No.4 【2017KCon洞见未来】如何DIY一套低成本反无人机系统(企安殿新课)(星期三)

推荐指数:★★★

关键词:Wi-Fi 模块在飞行器和手机间传输遥控、图传等信号

KCon 黑客大会2017主题为“洞见未来”,恰逢知道创宇成立十周年。知道创宇CEO赵伟在开场致辞中表示, KCon 连年举办,在技术圈里打造了自己的知名口碑,主要就是两点:一个是干货,议题质量一定要好,另外一个就是有趣,要打造属于自己的而又能让参会者喜欢的风格。

作为广受技术爱好者们好评的纯技术会议,今年KCon汇聚了很多前沿且有趣的议题,各路大咖轮番登场,展现了白帽们的智慧和极客精神。本次课程演讲者是360天马安全团队(PegasusTeam)安全研究员杨芸菲(qingxp9),主要从事WLAN安全研究、无线渗透测试及无线安全产品的研发工作;其参与研发的“绵羊墙”公共WiFi风险演示系统多年在ISC互联网安全大会、首都网络安全日等众多大型展会上获得展出。同时也是东北大学的无线安全课程客座讲师。他带来《第五代加固技术 ARM VMP 原理实现与应用》议题分享。

杨芸菲在议题中讲到,随着无人机在航拍、快递、灾后搜救、数据采集等方面的广泛应用,未经许可闯入敏感区域、意外坠落、影响客机正常起降、碰撞高层建筑等一系列问题不断发生,安全管控成为各国政府新的监管命题。基于消费级无人机使用 Wi-Fi 模块在飞行器和手机间传输遥控、图传等信号的特性,利用无线接入点的指纹特征便可发现并识别无人机,同时手机作为飞行状态的载体也可识别并定位操控者的身份。鉴于无人机厂家相互独立,行业缺乏统一管控标准的现状,杨芸菲提出一套承载在802.11上的无人机管控方案,可便于现有的无人机通过固件升级的方式予以支持,不需额外添加硬件模块。


火热连载

DOM型XSS实战分析

No.1 信息安全等级保护-实战篇(星期一)

推荐指数:★★★★

更新章节:信息系统定级、信息系统备案

关键词:信息安全等级保护的基础、内容、流程

由广,毕业于上海交通大学计算机及应用专业,从事信息安全专业工作12年。熟悉安全产品、安全服务及安全技术,精通网络与信息安全、渗透测试、应急响应、安全运维、病毒木马分析及开发、逆向破解。参与多次省级、地市级网络与信息安全培训和汇报工作,多次担任山东省经信委组织的攻防比赛评委和讲师。具有国家级、省级多个大型信息安全建设项目经验,有着比较丰富的实战经验;拥有国际注册信息系统安全师(CISSP)、信息系统安全等级保护测评师、Fortinet信息安全专家证书。

通过前两篇的信息安全等级保护课程,使大家对信息安全等级保护的基础、内容、流程都有了初步的了解,本课程通过理论与实践的结合,更直观、形象地讲解信息安全等级保护的定级、备案、建设整改、等保测评、安全检查等各个阶段的工作内容,偏重于信息安全等级保护的实战,同时又介绍了国家网络安全法对信息安全等级保护的法律支撑,以及信息安全等级保护的最新发展状况。


DOM型XSS实战分析

No.2 教你玩转XSS漏洞(星期二)

推荐指数:★★★

更新章节:DOM型XSS实战详解

关键词:存储型XSS、反射型XSS、DOM型XSS

XSS漏洞是Web应用程序中最常见的漏洞之一。如果网站站点没有预防XSS漏洞的固定方法,那么就存在着XSS漏洞。

讲师王松_Striker,安全盒子团队创始人,VIPKID安全应急响应中心负责人,补天漏洞响应平台明星白帽子,阿里巴巴雷锋沙龙演讲嘉宾,补天白帽沙龙第一期北京站演讲嘉宾专注于Web安全研究,发布过多篇Paper,如:《 Chrome中“自动填充”安全性研究 》、《 浅谈Discuz插件代码安全 》、《 XML实体注入漏洞攻与防 》等。

本门课程面向所有Web安全爱好者,讲师王松_Striker将从XSS基础讲起,第一章主要科普基础知识,包括XSS的原理及存储型XSS、反射型XSS、DOM型XSS的实战详解以及XSS辅助工具的学习;第二章主要学习多种XSS不同场景下不同的方法及Bypass技巧详解;第三章属于补充章节,主要讲一些XSS相关有趣的技术,如:Electron跨平台XSS执行系统命令、变种XSS:持久控制、以及MVVM模式下的XSS场景等,该章节不定期更新,有好玩的技术则会补充。


DOM型XSS实战分析

No.3 Python安全工具开发应用(星期二)

推荐指数:★★★★

更新章节:第四章课程内容总结

关键词:编程应用到实际

《Python安全工具开发应用》课程,以Python编程为主,围绕渗透测试展开的一门课程。课程内容包括: Python基础编程(Python基础、语法、对象、文件操作,错误和异常),Python高级主题(正则表达式、网络编程、WEB编程),以及Python安全编程(Python爬虫的编写,Python暴力破解程序,漏洞exp的编写等等精彩内容)。

通过本门课程的学习,能把Python编程应用到实际的渗透当中,可以提高效率,同时也能打造属于自己的工具。

讲师ADO,从事信息安全相关工作多年,长期进行风险评估、等保测评、渗透测试等项目的实施,有丰富的实战经验。熟知常见Web漏洞(sql注入、xss、任意文件下载、任意文件上传,命令执行等);擅长Python语言,能迅速开发所需工具。



戳阅读原文,学i春秋海量课程哟~


以上是关于DOM型XSS实战分析的主要内容,如果未能解决你的问题,请参考以下文章

XSS原理及代码分析

[PiKaChu靶场通关]Cross-Site Scripting XSS漏洞

XSS跨站漏洞 加强Web安全

XSS攻击

XSS跨站脚本攻击

通杀绝⼤多数交易平台的Tradingview Dom XSS漏洞分析