DOM-basierte XSS ist so schlecht dokumentiert. Ich weiß bereits, was reflektiertes und gespeichertes XSS ist.Was ist DOM-basiertes XSS?
Antwort
Hier sind gute Ressourcen für sie:
DOM Based XSS (oder, wie es in einige Texte genannt wird, „Typ-0 XSS“) ist ein XSS Angriff, bei dem die Angriffsnutzlast ausgeführt wird als Ergebnis der Änderung des DOM "enviro nment "im Browser des Opfers verwendet vom ursprünglichen Client Seitenskript, so dass der clientseitige Code in einer" unerwarteten "Art und Weise läuft. Das heißt, die Seite selbst (die HTTP Antwort, das ist) ändert sich nicht, aber der Client-Seite Code in der Seite enthaltenen unterschiedlich aufgrund der böswilligen Änderungen ausführt, die in der DOM-Umgebung aufgetreten sind.
So wird DOM-basierte XSS wie ein "JavaScript-Injection"? –
@DT: Ja clientseitige Code wird auf solche Weise für den unheilvollen Zweck verwendet. – Sarfraz
@ DT3, nicht genau - es ist nicht injizierendes Javascript, aber das vorhandene Javascript gezwungen, [Skript in sich selbst zu injizieren | HTML in die Webseite]. – AviD
Siehe http://www.owasp.org/index.php/DOM_Based_XSS
Im Grunde ist es ein Angriff aganist clientseitige Skripts, die Daten von GET-Strings, die URL, die Fragmentbezeichner oder so etwas holen und in die Seite setzen, ohne es zu entkommen.
- 1. Was ist der Unterschied zwischen -Xss und -XX: ThreadStackSize?
- 2. Ist Qooxdoo gegen XSS geschützt?
- 3. Was macht die Option -Xss JVM eigentlich?
- 4. Ist $ _SERVER ['QUERY_STRING'] sicher von XSS?
- 5. Ist window.location = window.location anfällig für XSS
- 6. Ist XSS in ASP.NET DropDownList möglich?
- 7. Ist es genug, um XSS zu vermeiden?
- 8. XSS regulärer Ausdruck
- 9. Meteor xss Code
- 10. XSS-Injektion über Adressleiste
- 11. verhindert xss Attacken/Injektion
- 12. PHP Markdown XSS Sanitizer
- 13. Was kann ich tun, um XSS-Code zu verhindern?
- 14. XSS Prävention in PHP
- 15. XSS in DataBinder.Eval
- 16. IE8 XSS/JQuery Problem
- 17. XSS-Angriffe und Stilattribute
- 18. Verhindern von DOM XSS
- 19. Wie XSS-Angriff wirklich funktioniert?
- 20. XSS Attacks Prevention
- 21. Anti-XSS Java-Bibliotheken
- 22. Schützt IsValid() vor XSS?
- 23. jQuery XSS Problem
- 24. BBCode mit XSS-Escape?
- 25. XSS Prävention in playframework1.2.4
- 26. Was ist der Zweck der xsc und xss Datei in VS2010?
- 27. Was bedeutet es, wenn sie sagen, dass React XSS-geschützt ist?
- 28. GWT HTML Widget XSS Sicherheit
- 29. Bootstrap XSS Angriff auf Popovers
- 30. Backbone.js und XSS/HTML entkommen
sollten Sie bitten, dies auf http://security.stackexchange.com/ – AviD