基于DOM的JavaScript注入
在本节中,我们将讨论基于DOM的JavaScript注射漏洞,讨论他们如何影响受害者,并提出减少您对JavaScript注射漏洞的接触的方法。
什么是基于DOM的JavaScript注入?
当脚本以JavaScript执行攻击者控制数据时,会出现基于DOM的JavaScript攻击漏洞。攻击者可能能够使用漏洞来构建一个URL,如果另一个用户访问,则会导致攻击者提供的任意JavaScript在用户的浏览器会话的上下文中执行。
可以诱使用户以各种方式访问攻击者的恶意URL,类似于通常的攻击媒介反映的跨站点脚本漏洞。有关更多信息,请参阅我们的页面DOM XSS。
基于DOM的JavaScript注射攻击有什么影响?
攻击者提供的代码可以执行各种各样的动作,例如窃取受害者的会议令牌或登录凭据,代表受害者执行任意行动,甚至登录其击键。
哪些接收器可能导致基于DOM的JavaScript注射漏洞?
以下是一些可能导致基于DOM的JavaScript注入漏洞的主要水槽:
eval()function()settimeout()setInterval()setimMediate()execCommand()execscript()mssetimMediate()range.createcontextualfragment()
如何防止基于DOM的JavaScript注射漏洞
除了在基于DOM的漏洞页面,您应该避免允许从任何不受信任源的数据执行为JavaScript。