目录
本系列为通过《DVWA靶场通关笔记》的DOM 型 XSS关卡(low,medium,high,impossible共4关)渗透集合,通过对相应关卡源码的代码审计找到讲解渗透原理并进行渗透实践。本文为DOM 型 XSS impossible关卡的原理分析部分,讲解相对于low、medium和high级别,为何对其进行渗透测试是Impossible的。
一、DOM型XSS
DOM 型 XSS(Document Object Model Cross-Site Scripting) 是一种特殊的 XSS 攻击,其注入点存在于客户端 JavaScript 代码中,而非服务器端。攻击者通过操控网页的 DOM 环境(如 URL 参数、表单输入等),诱导浏览器执行恶意脚本,无需服务器参与。
| 方面 | 普通XSS | DOM XSS |
|---|---|---|
| 检测工具 | 传统扫描工具可分析HTTP响应内容 | 需动态分析JS代码和DOM操作 |
| 防御位置 | 服务器端过滤(如转义<, >) |
客户端转义 + 避免危险的DOM操作 |
| WAF防护 | 可通过拦截恶意HTTP请求防御 | 通常无效(攻击数据可能不发送到服务器) |
二、代码分析
1、index.php
进入DVWA靶场DOM 型 XSS源目录,找到index.php源码。
这段代码是DVWA(Damn Vulnerable Web Application)中DOM型XSS的演示页面,主要功能是:
- 根据用户选择的语言生成一个下拉菜单。
- 当用户提交选择后,URL中会包含default=参数。
- 页面JavaScript会读取URL参数并动态生成选项。
详细注释后的代码如下所示。
<?php
// 设置根目录路径
define( 'DVWA_WEB_PAGE_TO_ROOT', '../../' );
// 引入DVWA页面初始化文件
require_once DVWA_WEB_PAGE_TO_ROOT . 'dvwa/includes/dvwaPage.inc.php';
// 启动页面,要求认证和PHPIDS保护
dvwaPageStartup( array( 'authenticated', 'phpids' ) );
// 创建新页面
$page = dvwaPageNewGrab();
// 设置页面标题
$page[ 'title' ] = 'Vulnerability: DOM Based Cross Site Scripting (XSS)' . $page[ 'title_separator' ].$page[ 'title' ];
$page[ 'page_id' ] = 'xss_d';
$page[ 'help_button' ] = 'xss_d';
$page[ 'source_button' ] = 'xss_d';
// 连接数据库
dvwaDatabaseConnect();
// 根据安全等级选择对应的级别文件
$vulnerabilityFile = '';
switch( $_COOKIE[ 'security' ] ) {
case 'low':
$vulnerabilityFile = 'low.php';
break;
case 'medium':
$vulnerabilityFile = 'medium.php';
break;
case 'high':
$vulnerabilityFile = 'high.php';
break;
default:
$vulnerabilityFile = 'impossible.php';
break;
}
// c
require_once DVWA_WEB_PAGE_TO_ROOT . "vulnerabilities/xss_d/source/{$vulnerabilityFile}";
// 对于impossible级别,不进行URI解码
$decodeURI = "decodeURI";
if ($vulnerabilityFile == 'impossible.php') {
$decodeURI = "";
}
// 构建页面主体
$page[ 'body' ] = <<<EOF
<div class="body_padded">
<h1>Vulnerability: DOM Based Cross Site Scripting (XSS)</h1>
<div class="vulnerable_code_area">
<p>Please choose a language:</p>
<form name="XSS" method="GET">
<select name="default">
<script>
// 检查URL中是否包含default参数
if (document.location.href.indexOf("default=") >= 0) {
// 提取default参数值
var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
// 动态写入选项
document.write("<option value='" + lang + "'>" + $decodeURI(lang) + "</option>");
document.write("<option value='' disabled='disabled'>----</option>");
}
// 写入固定选项
document.write("<option value='English'>English</option>");
document.write("<option value='French'>French</option>");
document.write("<option value='Spanish'>Spanish</option>");
document.write("<option value='German'>German</option>");
</script>
</select>
<input type="submit" value="Select" />
</form>
</div>
EOF;
// 添加更多信息链接
$page[ 'body' ] .= "
<h2>More Information</h2>
<ul>
<li>" . dvwaExternalLinkUrlGet( 'https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)' ) . "</li>
<li>" . dvwaExternalLinkUrlGet( 'https://www.owasp.org/index.php/Testing_for_DOM-based_Cross_site_scripting_(OTG-CLIENT-001)' ) . "</li>
<li>" . dvwaExternalLinkUrlGet( 'https://www.acunetix.com/blog/articles/dom-xss-explained/' ) . "</li>
</ul>
</div>\n";
// 输出页面
dvwaHtmlEcho( $page );
?>
2、Impossble.php
进入DVWA靶场源目录,找到Impossible.php源码,打开源码Impossible.php,如下所示。
Impossible的含义是服务器端不需要做任何防御措施,防御的关键在于客户端。我们查看index.php对impossible.php的特别处理,即不对其传入内容进行URI解码,这样注入语句就会失败。
三、DOM型XSS安全级别分析
四个安全级别(Low、Medium、High、Impossible)在 DOM 型 XSS 防护上的区别主要体现在对用户输入的处理方式和防护严格程度上,具体如下表所示。
Low 级别
- 无任何防护措施,对用户输入的
default参数完全信任,直接将其嵌入到页面的 JavaScript 代码中并执行。 - 例如,攻击者可以直接构造包含恶意脚本的 URL,如
/vulnerabilities/xss_d/?default=English<script>alert(1)</script>,脚本会被直接执行。
- 无任何防护措施,对用户输入的
Medium 级别
- 尝试通过简单的模式匹配进行防护,会检测
default参数中是否包含<script(不区分大小写),如果包含则重定向到?default=English。 - 攻击者可以不使用
<script>标签,通过其他方式执行脚本,比如利用img标签的onerror事件,如/vulnerabilities/xss_d/?default=English>/option></select><img src='x' onerror='alert(1)'>。
- 尝试通过简单的模式匹配进行防护,会检测
High 级别
- 采用白名单机制,只允许
default参数的值为French、English、German、Spanish这几个预设的语言选项,若为其他值则重定向到?default=English。 - 不过,由于 URL 中
#后面的片段(fragment)不会发送到服务器,因此攻击者可以将恶意脚本放在#之后,如/vulnerabilities/xss_d/?default=English#<script>alert(1)</script>,从而绕过服务器端的白名单检查。
- 采用白名单机制,只允许
Impossible 级别
- 防护在客户端进行,浏览器会对从 URL 中获取的内容进行默认编码,使得注入的恶意 JavaScript 无法被执行,从而彻底防止了 DOM 型 XSS 攻击。
四、Impossble防范分析
在 DVWA 的 DOM 型 XSS(Cross Site Scripting)场景中,Impossible级别的防范方法主要通过客户端编码处理和浏览器默认安全机制实现。Impossible级别的核心防范思路是利用浏览器对动态插入 DOM 的内容进行默认编码,避免将用户输入直接作为原始 HTML/JavaScript 执行,从而彻底阻断 DOM 型 XSS 攻击的可能性。具体如下所示。
1、禁用 URI 解码,依赖默认编码输入
在impossible.php对应的逻辑中,通过设置$decodeURI = "",移除了对 URL 中default参数的decodeURI解码操作。此时,浏览器会对从 URL 中获取的内容进行默认编码(如将特殊字符转换为 HTML 实体),使得注入的恶意脚本(如<script>标签)无法被解析为可执行代码。
关键代码逻辑(来自xss_d/index.php):
$decodeURI = "decodeURI";
if ($vulnerabilityFile == 'impossible.php') {
$decodeURI = ""; // 禁用解码,依赖浏览器默认编码
}对应的前端脚本部分:
// 当为impossible级别时,$decodeURI为空,等价于直接输出lang(被浏览器自动编码)
document.write("<option value='" + lang + "'>" + $decodeURI(lang) + "</option>");2、无需服务器端额外过滤
服务器端(impossible.php)未添加任何主动过滤逻辑(代码为空),完全依赖客户端浏览器对动态插入的内容进行编码,从根源上阻止恶意脚本的执行。
3、尝试注入脚本1
注入Payload:<script>alert('mooyuan')</script>
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=<script>alert('mooyuan')</script>如下所示注入失败,页面显示为注入语句的URL编码后效果。
4、尝试注入脚本2
注入Payload:</select><img src=0 οnerrοr=alert('mooyuan')>
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=</select><img src=0 onerror=alert('mooyuan')>如下所示注入失败,页面显示为注入语句的URL编码后效果。
