XSS内容总结

一、XSS漏洞中的DOM破坏：原理与应用场景

1.1、DOM破坏型XSS原理：

DOM破坏型XSS(DOM Clobbering)是一种特殊类型的XSS攻击，它通过操纵DOM结构来破坏JavaScript的正常执行流程，从而达到注入恶意代码的目的。

 基本原理：

1. DOM与JavaScript的交互：浏览器允许JavaScript通过全局对象(如`window`)访问DOM元素

2. 命名元素覆盖：当HTML元素具有`id`或`name`属性时，这些元素会被自动添加到全局作用域中

3. 属性覆盖：攻击者可以创建特定命名的元素来覆盖JavaScript中的关键变量或函数

4. 执行流程篡改：通过覆盖关键变量或函数，改变应用程序的正常执行路径

当JavaScript代码尝试访问`window.securityPolicy`时，获取的不是预期的安全策略对象，而是DOM元素集合，可能导致后续代码执行异常或被操纵。

1.2、应用场景

1. 覆盖安全策略变量

// 应用代码
const securityPolicy = {isAdmin: false,validateInput: function(input) {// 输入验证逻辑}
};// 攻击者通过DOM破坏覆盖securityPolicy
// <form id="securityPolicy"><input name="isAdmin" value="true"></form>

 2. 绕过输入过滤

// 应用代码
function sanitize(input) {const div = document.createElement('div');div.textContent = input;return div.innerHTML;
}// 攻击者可以破坏document.createElement方法
// <img name="createElement" onerror="alert(1)">

 3. 操纵API调用

// 应用代码
fetch('/api/data', {headers: {'X-CSRF-Token': window.csrfToken}
});// 攻击者注入: <meta name="csrfToken" content="malicious-value">

4. 破坏框架安全机制

许多前端框架依赖特定的全局变量或配置对象，攻击者可以通过DOM破坏这些关键对象来绕过框架的安全机制。

1.3、 防御措施

1. 避免全局命名空间污染：
- 使用模块化开发(ES6 modules)
- 避免依赖全局变量进行重要操作

2. 严格的内容安全策略(CSP)：
- 限制内联脚本执行
- 限制非信任源的脚本加载

3. 输入净化：
- 对所有用户输入进行严格的HTML编码
- 使用DOMPurify等库清理HTML

4. 防御性编程：
- 检查关键变量是否为预期类型
- 使用`Object.freeze()`保护重要对象

5. 使用现代框架的安全特性：
- React、Vue、Angular等框架内置了XSS防护机制

DOM破坏型XSS展示了客户端安全中DOM与JavaScript交互的复杂性，需要开发者在设计和实现Web应用时特别关注这种隐蔽的攻击方式。

二、 XSS漏洞中的Prototype和Object利用

在XSS攻击中，JavaScript的`prototype`和`Object`机制常被攻击者利用来扩大攻击面或绕过防御措施。下面我将详细解释这些概念及其在XSS攻击中的应用。

1. JavaScript原型(Prototype)基础

原型链概念：JavaScript是一种基于原型的语言，每个对象都有一个原型对象，对象从原型继承属性和方法。

// 构造函数
function User(name) {this.name = name;
}// 通过prototype添加方法
User.prototype.greet = function() {return `Hello, ${this.name}`;
};const user = new User('Alice');
console.log(user.greet()); // 继承自prototype

 原型污染(Prototype Pollution)：攻击者可以通过修改对象的原型来影响所有基于该原型的实例。

// 恶意代码可以污染Object原型
Object.prototype.isAdmin = true;// 现在所有对象都会继承isAdmin属性
const user = { name: 'Bob' };
console.log(user.isAdmin); // true (即使未显式设置)

2. Object在XSS中的利用

常见利用方式

2.1 污染内置对象原型

// 攻击者可能注入的代码
String.prototype.trim = function() {// 恶意代码sendDataToAttacker(this);return this;
};// 之后所有字符串的trim()都会执行恶意代码
" normal input ".trim();

2.2 覆盖关键方法

// 覆盖Array.prototype.push
Array.prototype.push = function(item) {// 窃取数据exfiltrateData(item);// 调用原始实现return Array.prototype.push.apply(this, arguments);
};

三、存储型xss漏洞

漏洞定义：存储型XSS（持久型XSS）是指恶意脚本被永久存储在目标服务器（如数据库、消息论坛、评论字段等），当其他用户访问包含该恶意脚本的页面时，脚本会在他们的浏览器中执行。

特点：
1. 持久性 - 恶意代码存储在服务器上
2. 传播性 - 影响所有访问受影响页面的用户
3. 高危害性 - 可窃取cookie、会话令牌，进行钓鱼攻击等

常见易发场景：

1. 用户生成内容区域
- 评论/留言系统（主要集中在评论系统中）
- 论坛帖子/回复
- 社交媒体发帖

2. 个人信息字段
- 用户资料页（名称、简介等）
- 客服聊天记录
- 工单系统内容

3. 文件上传功能
- 允许上传HTML/SVG文件的场景
- 文件内容未充分过滤

典型攻击流程：
恶意输入 → 服务器存储 → 页面展示 → 用户访问 → 脚本执行 → 数据泄露/恶意操作