专业的社区
使用Web消息测试DOM XSSbeplay体育能用吗
最近更新时间:2022年7月1日
阅读时间:4分钟
Dom Invader提供了许多功能,可让您测试DOM XSS使用Web消beplay体育能用吗息。这些包括:
记录通过beplay体育能用吗
Postmessage()
页面上的方法,以及有关它们的有用详细信息。这类似于Burp代理如何显示您的HTTP请求和响应的历史记录。使您能够修改并重新发送Web消息以手动探测DOMbeplay体育能用吗XSS漏洞。这类似于Burp Repeater如何重新发行的HTTP请求。
自动修改和发送Web消息代表您探测DOM XSS。beplay体育能用吗
您可以从Dom Invader的所有这些功能访问所有这些功能消息看法。
请注意,您首先需要启用术后拦截从DOM Invader设置菜单中使用这些功能。有关更多信息,请参阅通用设置。
beplay体育能用吗网络安全学院
如果您需要刷新基于Web消息的DOM XSS,请查看Wbeplay体育能用吗eb Security Academy,您还可以在其中找到一些故意易受攻击的实验室。
启用Web消息拦截beplay体育能用吗
为了避免干扰目标站点的功能,默认情况下,DOM Invader的Web消息功能将被禁用。beplay体育能用吗
启用这些功能:
转到DOM Invader设置菜单。
选择术后拦截转变。
点击重新加载重新加载浏览器。这对于您的更改生效是必要的。
识别有趣的网络消息beplay体育能用吗
启用Web消息拦截后,DOM Ibeplay体育能用吗nvader会自动记录通过该页面上发送的任何Web消息Postmessage()
方法。默认情况下,它还生成并将其自己的消息发送给其检测到的任何消息事件处理程序。
您可以在消息看法。
自动网络消息分析beplay体育能用吗
默认情况下,Dom Invader试图代表您识别和标记有趣的消息。它通过以以下方式修改消息来做到这一点:
通过消息注入金丝雀
数据
财产。DOM Invader可以使用它来识别此数据流入的任何接收器,就像它与其他来源一样dom看法。用假的原点替换消息的来源,该原点以预期的域名开始和结束。这使DOM Invader能够自动识别依赖有缺陷的逻辑或正则表达式以验证传入消息的起源的事件处理程序。
笔记
您可以从DOM Invader的设置菜单中禁用这两个功能。有关更多信息,请参阅beplay体育能用吗Web消息配置。
根据观察到的行为,DOM Invader自动标记它认为可以通过显示估计的问题严重性和置信度来利用的消息。页面上发送的所有消息至少列出信息严重性等级,因为它们可能包含DOM Invader无法自动检测的漏洞。
消息详细信息
您可以单击每条消息以查看有关它的更多详细信息,包括是否是起源
,,,,数据
, 或者资源
消息的属性由客户端JavaScript访问。
该信息可以提供线索,以帮助您确定消息是否有用,以及如何制作合适的利用。
来源访问
如果客户端代码永远不会访问起源
消息的属性,可能未验证该来源。结果,您可以从任意外部域向事件处理程序发送交叉原始消息。
但是,即使是客户端代码确实访问的消息起源
财产可能仍然不安全。您可能仍然能够绕过验证。为了帮助您找到这样做的方法,DOM Invader通过堆栈跟踪提供了指向代码中相关行的链接。有关更多信息,请参阅研究客户端代码。
beplay体育能用吗网络安全学院
访问的数据
这数据
消息的属性是您注入潜在有效载荷的位置。如果JavaScript从未访问此属性,则无法将其传递到水槽。在这种情况下,信息无关。
来源访问
这资源
消息的属性是对窗户
从中发送的对象。实际上,这通常是对iframe的引用。beplay体育能用吗网站经常验证资源
属性而不是原点,因为这是确保消息来自特定,可信赖的iframe的一种更强大的方式。
与原点一样,请记住,访问此属性的客户端代码不能保证源被验证,或者无法绕过此验证。
重播网络消息beplay体育能用吗
DOM Invader使您能够修改和重播Web消息,就像Burp Repeater中的HTbeplay体育能用吗TP请求一样。这使得使用Web消息作为源探测DOM XSS变得更加简单。beplay体育能用吗
发送修改的Web消息:beplay体育能用吗
来自消息查看,单击任何消息以打开“消息详细信息”对话框。
编辑数据按要求进行字段。
点击发送。
例如,您可以确定事件处理程序未验证原点并将数据传递到的消息element.innerhtml
下沉。在这种情况下,您可以发送消息来测试字符是否喜欢<
,,,,>
, 和“
被逃脱,然后使用这些角色创建并发送概念验证有效载荷。
产生概念证明
一旦您成功地使用Web消息识别可剥削的漏洞,DOM Invader就可以生成HTML概念证明,您可以将其包含在报告中。beplay体育能用吗
生成概念证明:
选择易受攻击的消息以打开“消息详细信息”对话框。
修改利用要求的值。
点击构建POC。HTML保存到剪贴板上。
阅读更多
DOM Invader是高度可配置的。有关Dom Invader的高级功能以及如何对特定网站进行微调的更多信息,请参见beplay体育能用吗Web消息设置。