使用Sboxr自动发现和利用DOM型XSS攻击漏洞(第二部分)——
待翻译
原文链接:https://blog.appsecco.com/automating-discovery-and-exploiting-dom-client-xss-vulnerabilities-using-sboxr-part-2-3b5c494148e0
使用Sboxr自动发现和利用DOM型XSS攻击漏洞(第三部分)——待翻译
原文链接:https://blog.appsecco.com/automating-discovery-and-exploiting-dom-client-xss-vulnerabilities-using-sboxr-part-3-2ea910dfb429
本系列文章将会向你展示:怎样利用Sboxr自动识别单页面应用或JavaScript富应用上的DOM型XSS漏洞。为了更好的介绍,我搭建了一套DOM型XSS漏洞演练平台——https://domgo.at,上面有10个练习题和对应的POC。
本篇是第一部分,主要包含前两个练习题的介绍和解题方法。其他题会在之后的文章中介绍。
此外,所有练习题的解题方法会整合在一个gitbook中——https://appsecco.com/books/automating-discovery-and-exploiting-dom-client-xss/。
什么是DOM型XSS/Client型XSS
纵观跨站脚本攻击的历史,DOM/Client型XSS漏洞在安全人员的心中一直都有特殊的地位。一般的检测技术很容易忽略这种类型的XSS漏洞,而这种漏洞又很容易发生在使用了大量JS的应用中。
OWASP中定义DOM型XSS漏洞为:通过改变受害者浏览器中用于原始客户端脚本的DOM环境,使客户端代码以“意外”的方式执行。这意味着,不是因为页面本身(即HTTP响应)改变,而是因为DOM环境被恶意修改,导致客户端代码以不同的方式执行。
简而言之,当来自DOM源(比如location.hash)的用户输入,找到了通往DOM接收器(比如HTMLElement.innerHTML)的方法时,DOM型XSS漏洞就会出现。DOM型XSS攻击千变万化,因为DOM源和接收器的类型多种多样,取决于JS的复杂程度和实现的功能。
通过手动检测或代码审查的方式检测DOM XSS漏洞需要花费很多时间。所以需要一种自动化的检测工具,通过注入自己的JS来监视DOM的变化,通过浏览站点来获得所有源和接收器。
什么是Sboxr
Sboxr是一种用于调试Web应用的工具,特别是使用了大量JavaScript代码的Web应用。通过在浏览器和服务器之间注入自己的JS代码(称为DOM传感器),当站点被访问时,Sboxr可以对JS的使用、源、接收器、变量赋值、函数调用等内容实现监控,然后通过web控制台向用户展示所监控数据的变化视图。
以上设置完成后,需要配置浏览器向Sboxr发送流量(然后再转发到Burp或OWASP ZAP)。
Sboxr目前不支持SOCKS代理,所以要用Burp或OWASP ZAP拦截流量。
因为缺少可导入的证书,Https站点可能不支持Sboxr,所以在命令行端口启动chrome时要带上--ignore-certificate-errors 标签来忽略证书错误(Firefox浏览器不支持通过about:config中的network.stricttransportsecurity.preloadlist选项来禁用证书校验,所以我们选择Chrome浏览器)。
在Linux中,用以下命令:
mkdir -p ~/.chrome;/opt/google/chrome/chrome -incognito --ignore-certificate-errors --proxy-server=http=http://localhost:3331\;https=http://localhost:3331 --user-data-dir=~/.chrome
在Windows中,用以下命令(假设是默认安装路径):
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -incognito --ignore-certificate-errors --proxy-server=http=http://localhost:3331;https=http://localhost:3331 --user-data-dir="C:\Users\%Username%\AppData\Local\Temp\TestChromeProxy"
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
最后于 2020-1-22 09:31
被Green奇编辑
,原因: 图片过期,更新图片