DOM-DATA操纵
在本节中,我们将研究什么是DOM-DATA操纵,讨论这种攻击的潜在影响,并研究减少您对DOM-DATA操纵漏洞的接触的方法。
什么是DOM-DATA操纵?
当脚本将攻击者控制数据写入可见的UI或客户端端逻辑中使用的DOM中的字段时,DOM-DATA操纵漏洞会出现。攻击者可能能够使用此漏洞来构建一个URL,如果另一个用户访问,将修改客户端UI的外观或行为。DOM-DATA操纵漏洞可以通过反射和存储的基于DOM的攻击来利用。
DOM-DATA操纵的影响是什么?
在量表的较小端,攻击者可能能够利用这种漏洞来执行网站的虚拟污损,例如更改文本或特定页面上显示的图像。beplay体育能用吗但是,攻击可能更严重。例如,如果攻击者能够更改src
元素的属性,他们可能会通过导入恶意JavaScript文件来诱导用户执行意外操作。
哪些水槽会导致DOM-DATA操纵漏洞?
以下是可能导致DOM-DATA操纵漏洞的一些主要水槽:
script.src script.text script.textcontent script.innertext element.setAttribute()element.search element.text element.textContent element.innertext element.innertext element.OuterText element.value element.name element.name element.target element.target element.method element.method element.type element.type element.backimbimage embackimage exlockimbimageelement.csstext element.codebase document.title document.implementation.createhtmldocument()history.pushstate()
如何防止DOM-DATA操纵漏洞
除了在基于DOM的漏洞页面,您应该避免允许从任何不受信任源的数据动态写入DOM-DATA字段。请注意,Burp Suite会使用静态代码分析自动识别此问题,这可能会导致实际上无法利用的误报。应审查相关的代码和执行途径,以确定是否确实存在此漏洞,或者是否存在缓解能力以阻止剥削。