DOM Invader
Last updated
Last updated
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
DOM Invader 是一个安装在 Burp 内置浏览器中的工具。它通过各种来源和接收点,包括网络消息和原型污染,帮助 检测 DOM XSS 漏洞。该工具作为扩展预安装。
DOM Invader 在浏览器的 DevTools 面板中集成了一个选项卡,支持以下功能:
识别网页上的可控接收点 以进行 DOM XSS 测试,提供上下文和清理细节。
记录、编辑和重新发送通过 postMessage()
方法发送的网络消息 以进行 DOM XSS 测试。DOM Invader 还可以使用特别构造的网络消息自动检测漏洞。
检测 客户端原型污染 来源并扫描发送到风险接收点的可控小工具。
识别 DOM 覆盖漏洞。
在 Burp 的内置浏览器中,转到 Burp 扩展 并启用它:
现在刷新页面,在 Dev Tools 中你会找到 DOM Invader 选项卡:
在前面的图像中,你可以看到一个 随机字符组,即 Canary。你现在应该开始 在网页的不同部分(参数、表单、URL...)注入 它,并每次点击搜索。DOM Invader 将检查 canary 是否结束于任何有趣的接收点,可能被利用。
此外,选项 Inject URL params 和 Inject forms 将自动打开一个 新选项卡,注入 每个找到的 URL 参数和 表单 中的 canary。
如果你只想找到页面可能存在的潜在接收点,即使它们不可利用,你可以 搜索一个空的 canary。
DOM Invader 允许使用网络消息测试 DOM XSS,具有以下功能:
记录通过 postMessage()
发送的网络消息,类似于 Burp Proxy 的 HTTP 请求/响应历史记录日志。
修改 和 重新发送 网络消息以手动测试 DOM XSS,类似于 Burp Repeater 的功能。
自动更改 和发送网络消息以探测 DOM XSS。
通过点击每条消息,可以查看详细信息,包括客户端 JavaScript 是否访问消息的 origin
、data
或 source
属性。
origin
: 如果 消息的来源信息未检查,你可能能够从 任意外部域 向事件处理程序发送跨域消息。但如果进行了检查,仍然可能不安全。
data
: 这是发送有效负载的地方。如果此数据未使用,则接收点无用。
source
: 评估源属性,通常引用一个 iframe,是否经过验证而不是来源。即使进行了检查,也不能保证验证无法被绕过。
从 消息 视图中,点击任何消息以打开消息详情对话框。
根据需要编辑 数据 字段。
点击 发送。
DOM Invader 还可以搜索 原型污染漏洞。首先,你需要启用它:
然后,它将 搜索来源,使你能够向 Object.prototype
添加任意属性。
如果找到任何内容,将出现一个 测试 按钮以 测试找到的来源。点击它,将出现一个新选项卡,在控制台中创建一个对象并检查 testproperty
是否存在:
一旦你找到一个源,你可以扫描小工具:
当点击DOM视图中任何已识别的原型污染源旁边的扫描小工具按钮时,DOM Invader会打开一个新标签页。然后开始扫描合适的小工具。
与此同时,在同一标签页中,DevTools面板应该打开DOM Invader标签。在扫描完成后,通过已识别的小工具访问的任何接收点将在DOM视图中显示。例如,下面的示例中显示了一个名为html
的小工具属性被传递到innerHTML
接收点。
在前面的图像中,可以看到可以开启DOM污染扫描。一旦完成,DOM Invader将开始搜索DOM污染漏洞。
学习与实践AWS黑客技术:HackTricks培训AWS红队专家(ARTE) 学习与实践GCP黑客技术:HackTricks培训GCP红队专家(GRTE)