DOM型XSS实战分析

Posted 2021-04-29 i春秋

课程早知道—上篇

新番嗨课

No.1 Web入侵检测与漏洞感知系统（企安殿新课）

No.2 【2017KCon洞见未来】探索虚拟化技术在漏洞检测中的应用（企安殿新课）

No.3 【2017KCon洞见未来】第五代加固技术ARM VMP原理实现与应用（企安殿新课）

No.4 【2017KCon洞见未来】如何DIY一套低成本反无人机系统（企安殿新课）

火热连载

No.1 信息安全等级保护-实战篇

No.2 教你玩转XSS漏洞

No.3 Python安全工具开发应用

DOM，全称Document Object Model，是一个平台和语言都中立的接口，可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。

DOM型XSS其实是一种特殊类型的反射型XSS，它是基于DOM文档对象模型的一种漏洞。

在网站页面中有许多页面的元素，当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象，接着生成各个子文档对象，每个页面元素对应一个文档对象，每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说，客户端的脚本程序可以通过DOM来动态修改页面内容，从客户端获取DOM中的数据并在本地执行。基于这个特性，就可以利用JS脚本来实现XSS漏洞的利用。

DOM 是遵循 W3C（万维网联盟）的标准。

DOM 定义了访问 html 和 XML 文档的标准：

"W3C 文档对象模型 （DOM） 是中立于平台和语言的接口，它允许程序和脚本动态地访问和更新文档的内容、结构和样式。"

W3C DOM 标准被分为 3 个不同的部分：

-核心 DOM - 针对任何结构化文档的标准模型

-XML DOM - 针对 XML 文档的标准模型

-HTML DOM - 针对 HTML 文档的标准模型

你对DOM型XSS漏洞是否有一定的认识呢？为更好的了解DOM型XSS漏洞，让我们来学习一下本周《教你玩转XSS漏洞》的最新章节“DOM型XSS实战详解”吧~

新番嗨课

No.1 Web入侵检测与漏洞感知系统（企安殿新课）（星期一）

推荐指数：★★★

关键词：产品定位、检测流程、功能架构

WebIDS，是安赛在对“Web应用周期”和“Web漏洞攻防实践”的深度理解的基础上，基于“全流量镜像技术”及“大数据处理技术”研发的一套Web入侵检测及漏洞感知系统。

本次课程邀请到安赛售前工程师王玉藏为大家带来Web入侵检测与漏洞感知系统的介绍。王玉藏，女，燕山大学通信与信息系统工学硕士学位，到目前已有两年信息安全从业经验，现在就职于北京安赛创想科技有限公司（简称：安赛）。目前，安赛的技术能力已被数十家大型互联网企业、十多个部委，及各大信息安全主管部门采用并发挥了重要作用，具备极高的口碑和知名度。

讲师在第一部分详细讲解了安赛的发展历程、技术研究、资质与荣誉，以及合作用户，第二部分从产品定位、检测流程、功能架构、技术优势、用户价值和产品界面展示6个方面介绍了WebIDS，第三个部分讲了2个关于Web入侵检测与漏洞感知系统典型案例，最后针对银行业和金融行业的客户需求提出了针对性的解决方案，提升其网站业务应用安全保障能力。

No.2 【2017KCon洞见未来】探索虚拟化技术在漏洞检测中的应用（企安殿新课）（星期三）

推荐指数：★★★

关键词：VT 对抗反虚拟机技术

KCon 黑客大会2017主题为“洞见未来”，恰逢知道创宇成立十周年。知道创宇CEO赵伟在开场致辞中表示， KCon 连年举办，在技术圈里打造了自己的知名口碑，主要就是两点：一个是干货，议题质量一定要好，另外一个就是有趣，要打造属于自己的而又能让参会者喜欢的风格。

作为广受技术爱好者们好评的纯技术会议，今年KCon汇聚了很多前沿且有趣的议题，各路大咖轮番登场，展现了白帽们的智慧和极客精神。本次课程演讲者是具有10年以上的网络安全从业经验的漏洞安全研究员——仙果，他带来的议题是《索虚拟化技术在漏洞检测中的应用》。

漏洞安全研究员仙果介绍了建立在硬件虚拟化技术上，并使用这种攻防对抗的技术来检测漏洞的方法。具体有以下几点：1.使用 VT 对抗反虚拟机技术；2.EPT 技术打开了一个新的大门，在传统的系统中，内存要想执行，就必须具备可执行+可读的权限，EPT 的出现，可以把执行属性和可读属性区分开来。指令跟踪技术通过 MTF，EPT 等各种手法可以做到指令跟踪（包括内核指令）。从程序执行指令流来检测漏洞；3. 还可以用来跟踪 shellcode 执行流；4. 模拟器具备更灵活的检测思路，例如利用模拟器来 FUZZ，可以检测内核信息泄漏之类的漏洞。

No.3 【2017KCon洞见未来】第五代加固技术ARM VMP原理实现与应用（企安殿新课）（星期三）

推荐指数：★★★

关键词：营销作弊、代码被篡改、数据泄密

KCon 连年举办，在技术圈里打造了自己的知名口碑，主要就是两点：一个是干货，议题质量一定要好，另外一个就是有趣，要打造属于自己的而又能让参会者喜欢的风格。

作为广受技术爱好者们好评的纯技术会议，今年KCon汇聚了很多前沿且有趣的议题，各路大咖轮番登场，展现了白帽们的智慧和极客精神。本次课程演讲者是陈愉鑫，他曾在知道创宇 IA 实验室负责 android 病毒自动化分析，同时也是吾爱论坛移动分区版主，i春秋线下特种行业班讲师。这名年仅 16 岁的少年黑客为大家带来《第五代加固技术 ARM VMP 原理实现与应用》议题分享。

陈愉鑫在议题中讲到，营销作弊、代码被篡改、数据泄密等安全问题集中爆发，保护核心代码迫在眉睫。纵观加固技术发展历史，传统的保护方法已经难以满足眼下的安全保护需求。基于 ARM 平台的 VM 代码虚拟化保护技术能更好的保护 Android 原生库及其它大部分运行在 ARM 芯片上的原生代码，陈愉鑫从 VM 指令集的设计、VM 解释器的设计以及 VM 编译器的设计充分阐明了 ARM 虚拟化保护的原理与实现方法。

No.4 【2017KCon洞见未来】如何DIY一套低成本反无人机系统（企安殿新课）（星期三）

推荐指数：★★★

关键词：Wi-Fi 模块在飞行器和手机间传输遥控、图传等信号

KCon 黑客大会2017主题为“洞见未来”，恰逢知道创宇成立十周年。知道创宇CEO赵伟在开场致辞中表示， KCon 连年举办，在技术圈里打造了自己的知名口碑，主要就是两点：一个是干货，议题质量一定要好，另外一个就是有趣，要打造属于自己的而又能让参会者喜欢的风格。

作为广受技术爱好者们好评的纯技术会议，今年KCon汇聚了很多前沿且有趣的议题，各路大咖轮番登场，展现了白帽们的智慧和极客精神。本次课程演讲者是360天马安全团队（PegasusTeam）安全研究员杨芸菲(qingxp9)，主要从事WLAN安全研究、无线渗透测试及无线安全产品的研发工作；其参与研发的“绵羊墙”公共WiFi风险演示系统多年在ISC互联网安全大会、首都网络安全日等众多大型展会上获得展出。同时也是东北大学的无线安全课程客座讲师。他带来《第五代加固技术 ARM VMP 原理实现与应用》议题分享。

杨芸菲在议题中讲到，随着无人机在航拍、快递、灾后搜救、数据采集等方面的广泛应用，未经许可闯入敏感区域、意外坠落、影响客机正常起降、碰撞高层建筑等一系列问题不断发生，安全管控成为各国政府新的监管命题。基于消费级无人机使用 Wi-Fi 模块在飞行器和手机间传输遥控、图传等信号的特性，利用无线接入点的指纹特征便可发现并识别无人机，同时手机作为飞行状态的载体也可识别并定位操控者的身份。鉴于无人机厂家相互独立，行业缺乏统一管控标准的现状，杨芸菲提出一套承载在802.11上的无人机管控方案，可便于现有的无人机通过固件升级的方式予以支持，不需额外添加硬件模块。

火热连载

No.1 信息安全等级保护-实战篇（星期一）

推荐指数：★★★★

更新章节：信息系统定级、信息系统备案

关键词：信息安全等级保护的基础、内容、流程

由广，毕业于上海交通大学计算机及应用专业，从事信息安全专业工作12年。熟悉安全产品、安全服务及安全技术，精通网络与信息安全、渗透测试、应急响应、安全运维、病毒木马分析及开发、逆向破解。参与多次省级、地市级网络与信息安全培训和汇报工作，多次担任山东省经信委组织的攻防比赛评委和讲师。具有国家级、省级多个大型信息安全建设项目经验，有着比较丰富的实战经验；拥有国际注册信息系统安全师（CISSP）、信息系统安全等级保护测评师、Fortinet信息安全专家证书。

通过前两篇的信息安全等级保护课程，使大家对信息安全等级保护的基础、内容、流程都有了初步的了解，本课程通过理论与实践的结合，更直观、形象地讲解信息安全等级保护的定级、备案、建设整改、等保测评、安全检查等各个阶段的工作内容，偏重于信息安全等级保护的实战，同时又介绍了国家网络安全法对信息安全等级保护的法律支撑，以及信息安全等级保护的最新发展状况。

No.2 教你玩转XSS漏洞（星期二）

推荐指数：★★★

更新章节：DOM型XSS实战详解

关键词：存储型XSS、反射型XSS、DOM型XSS

XSS漏洞是Web应用程序中最常见的漏洞之一。如果网站站点没有预防XSS漏洞的固定方法，那么就存在着XSS漏洞。

讲师王松_Striker，安全盒子团队创始人，VIPKID安全应急响应中心负责人，补天漏洞响应平台明星白帽子，阿里巴巴雷锋沙龙演讲嘉宾，补天白帽沙龙第一期北京站演讲嘉宾专注于Web安全研究，发布过多篇Paper，如：《 Chrome中“自动填充”安全性研究 》、《 浅谈Discuz插件代码安全 》、《 XML实体注入漏洞攻与防 》等。

本门课程面向所有Web安全爱好者，讲师王松_Striker将从XSS基础讲起，第一章主要科普基础知识，包括XSS的原理及存储型XSS、反射型XSS、DOM型XSS的实战详解以及XSS辅助工具的学习；第二章主要学习多种XSS不同场景下不同的方法及Bypass技巧详解；第三章属于补充章节，主要讲一些XSS相关有趣的技术，如：Electron跨平台XSS执行系统命令、变种XSS：持久控制、以及MVVM模式下的XSS场景等，该章节不定期更新，有好玩的技术则会补充。

No.3 Python安全工具开发应用（星期二）

推荐指数：★★★★

更新章节：第四章课程内容总结

关键词：编程应用到实际

《Python安全工具开发应用》课程，以Python编程为主，围绕渗透测试展开的一门课程。课程内容包括： Python基础编程（Python基础、语法、对象、文件操作，错误和异常），Python高级主题（正则表达式、网络编程、WEB编程），以及Python安全编程（Python爬虫的编写，Python暴力破解程序，漏洞exp的编写等等精彩内容）。

通过本门课程的学习，能把Python编程应用到实际的渗透当中，可以提高效率，同时也能打造属于自己的工具。

讲师ADO，从事信息安全相关工作多年，长期进行风险评估、等保测评、渗透测试等项目的实施，有丰富的实战经验。熟知常见Web漏洞（sql注入、xss、任意文件下载、任意文件上传，命令执行等）；擅长Python语言，能迅速开发所需工具。

戳阅读原文，学i春秋海量课程哟~