24 KiB
DOM XSS
{% hint style="success" %}
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
- Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.
DOM Açıkları
DOM açıkları, saldırgan kontrolündeki kaynaklardan (örneğin location.search
, document.referrer
veya document.cookie
) verilerin güvensiz bir şekilde sinklere aktarılması durumunda ortaya çıkar. Sinkler, kötü niyetli veriler verildiğinde zararlı içeriği çalıştırabilen veya render edebilen fonksiyonlar veya nesnelerdir (örneğin, eval()
, document.body.innerHTML
).
- Kaynaklar, saldırganlar tarafından manipüle edilebilen URL'ler, çerezler ve web mesajları gibi girişlerdir.
- Sinkler, kötü niyetli verilerin olumsuz etkilere yol açabileceği potansiyel olarak tehlikeli uç noktalarıdır, örneğin script çalıştırma.
Risk, verilerin bir kaynaktan bir sinke uygun bir doğrulama veya sanitasyon olmadan akması durumunda ortaya çıkar ve bu da XSS gibi saldırılara olanak tanır.
{% hint style="info" %} Kaynaklar ve sinkler hakkında daha güncel bir listeyi https://github.com/wisec/domxsswiki/wiki adresinde bulabilirsiniz. {% endhint %}
Yaygın kaynaklar:
document.URL
document.documentURI
document.URLUnencoded
document.baseURI
location
document.cookie
document.referrer
window.name
history.pushState
history.replaceState
localStorage
sessionStorage
IndexedDB (mozIndexedDB, webkitIndexedDB, msIndexedDB)
Database
Ortak Sıvılar:
Açık Yönlendirme | Javascript Enjeksiyonu | DOM-veri manipülasyonu | jQuery |
---|---|---|---|
location |
eval() |
scriptElement.src |
add() |
location.host |
Function() constructor |
scriptElement.text |
after() |
location.hostname |
setTimeout() |
scriptElement.textContent |
append() |
location.href |
setInterval() |
scriptElement.innerText |
animate() |
location.pathname |
setImmediate() |
someDOMElement.setAttribute() |
insertAfter() |
location.search |
execCommand() |
someDOMElement.search |
insertBefore() |
location.protocol |
execScript() |
someDOMElement.text |
before() |
location.assign() |
msSetImmediate() |
someDOMElement.textContent |
html() |
location.replace() |
range.createContextualFragment() |
someDOMElement.innerText |
prepend() |
open() |
crypto.generateCRMFRequest() |
someDOMElement.outerText |
replaceAll() |
domElem.srcdoc |
``Yerel dosya yolu manipülasyonu | someDOMElement.value |
replaceWith() |
XMLHttpRequest.open() |
FileReader.readAsArrayBuffer() |
someDOMElement.name |
wrap() |
XMLHttpRequest.send() |
FileReader.readAsBinaryString() |
someDOMElement.target |
wrapInner() |
jQuery.ajax() |
FileReader.readAsDataURL() |
someDOMElement.method |
wrapAll() |
$.ajax() |
FileReader.readAsText() |
someDOMElement.type |
has() |
``Ajax isteği manipülasyonu | FileReader.readAsFile() |
someDOMElement.backgroundImage |
constructor() |
XMLHttpRequest.setRequestHeader() |
FileReader.root.getFile() |
someDOMElement.cssText |
init() |
XMLHttpRequest.open() |
FileReader.root.getFile() |
someDOMElement.codebase |
index() |
XMLHttpRequest.send() |
Bağlantı manipülasyonu | someDOMElement.innerHTML |
jQuery.parseHTML() |
jQuery.globalEval() |
someDOMElement.href |
someDOMElement.outerHTML |
$.parseHTML() |
$.globalEval() |
someDOMElement.src |
someDOMElement.insertAdjacentHTML |
İstemci tarafı JSON enjeksiyonu |
``HTML5-depolama manipülasyonu | someDOMElement.action |
someDOMElement.onevent |
JSON.parse() |
sessionStorage.setItem() |
XPath enjeksiyonu | document.write() |
jQuery.parseJSON() |
localStorage.setItem() |
document.evaluate() |
document.writeln() |
$.parseJSON() |
**[**`Hizmet Reddi`**](dom-xss.md#denial-of-service)** |
someDOMElement.evaluate() |
document.title |
``Çerez manipülasyonu |
requestFileSystem() |
``Belge-alan manipülasyonu | document.implementation.createHTMLDocument() |
document.cookie |
RegExp() |
document.domain |
history.pushState() |
WebSocket-URL zehirlenmesi |
İstemci Tarafı SQL enjeksiyonu | Web-mesaj manipülasyonu | history.replaceState() |
WebSocket |
executeSql() |
postMessage() |
`` | `` |
innerHTML
sıvısı, modern tarayıcılarda script
öğelerini kabul etmez, ayrıca svg onload
olayları da tetiklenmez. Bu, img
veya iframe
gibi alternatif öğeler kullanmanız gerektiği anlamına gelir.
Bu tür bir XSS muhtemelen bulması en zor olanıdır, çünkü JS kodunun içine bakmanız, kontrol ettiğiniz herhangi bir nesneyi kullanıp kullanmadığını görmeniz ve bu durumda, keyfi JS çalıştırmak için herhangi bir şekilde kötüye kullanmanın olup olmadığını kontrol etmeniz gerekir.
Onları bulmak için araçlar
- https://github.com/mozilla/eslint-plugin-no-unsanitized
- Potansiyel bir sıvıya ulaşan her veriyi kontrol etmek için tarayıcı uzantısı: https://github.com/kevin-mizu/domloggerpp
Örnekler
Açık Yönlendirme
Kaynak: https://portswigger.net/web-security/dom-based/open-redirection
DOM'deki açık yönlendirme güvenlik açıkları, bir saldırganın kontrol edebileceği verilerin bir sıvıya yazıldığı durumlarda meydana gelir; bu sıvı, alanlar arasında gezinmeyi başlatma yeteneğine sahiptir.
Yönlendirmenin gerçekleştiği URL'nin başlangıcını kontrol ediyorsanız, javascript:alert(1)
gibi keyfi kod çalıştırmanın mümkün olduğunu anlamak önemlidir.
Sıvılar:
location
location.host
location.hostname
location.href
location.pathname
location.search
location.protocol
location.assign()
location.replace()
open()
domElem.srcdoc
XMLHttpRequest.open()
XMLHttpRequest.send()
jQuery.ajax()
$.ajax()
Cookie manipülasyonu
From: https://portswigger.net/web-security/dom-based/cookie-manipulation
DOM tabanlı cookie-manipülasyonu zafiyetleri, bir script'in bir saldırgan tarafından kontrol edilebilen verileri bir cookie'nin değerine dahil etmesi durumunda meydana gelir. Bu zafiyet, cookie sitenin içinde kullanıldığında web sayfasının beklenmedik bir şekilde davranmasına yol açabilir. Ayrıca, cookie kullanıcı oturumlarını takip etmekte kullanılıyorsa, oturum sabitleme saldırısı gerçekleştirmek için de istismar edilebilir. Bu zafiyetle ilişkili ana sink şudur:
Sinks:
document.cookie
JavaScript Enjeksiyonu
From: https://portswigger.net/web-security/dom-based/javascript-injection
DOM tabanlı JavaScript enjeksiyonu zafiyetleri, bir saldırgan tarafından kontrol edilebilen verilerin JavaScript kodu olarak çalıştırıldığı durumlarda oluşur.
Sinks:
eval()
Function() constructor
setTimeout()
setInterval()
setImmediate()
execCommand()
execScript()
msSetImmediate()
range.createContextualFragment()
crypto.generateCRMFRequest()
Document-domain manipulation
From: https://portswigger.net/web-security/dom-based/document-domain-manipulation
Document-domain manipulation zafiyetleri, bir script'in document.domain
özelliğini bir saldırganın kontrol edebileceği verilerle ayarlaması durumunda meydana gelir.
document.domain
özelliği, tarayıcılar tarafından aynı köken politikasının uygulanmasında anahtar bir rol oynar. Farklı kökenlerden gelen iki sayfa document.domain
'larını aynı değere ayarladıklarında, kısıtlama olmaksızın etkileşimde bulunabilirler. Tarayıcılar, document.domain
'a atanabilir değerlere belirli sınırlamalar getirse de, tamamen alakasız değerlerin gerçek sayfa kökenine atanmasını engelleyen istisnalar vardır. Genellikle, tarayıcılar çocuk veya ebeveyn alan adlarının kullanımına izin verir.
Sinks:
document.domain
WebSocket-URL zehirlenmesi
From: https://portswigger.net/web-security/dom-based/websocket-url-poisoning
WebSocket-URL zehirlenmesi, bir script'in kontrol edilebilir verileri WebSocket bağlantısı için hedef URL olarak kullanması durumunda meydana gelir.
Sinks:
WebSocket
yapıcıları, WebSocket-URL zehirlenmesi zafiyetlerine yol açabilir.
Bağlantı manipülasyonu
From: https://portswigger.net/web-security/dom-based/link-manipulation
DOM tabanlı bağlantı manipülasyonu zafiyetleri, bir script'in saldırgan tarafından kontrol edilebilir verileri mevcut sayfadaki bir navigasyon hedefine yazması durumunda ortaya çıkar; bu, tıklanabilir bir bağlantı veya bir formun gönderim URL'si gibi olabilir.
Sinks:
someDOMElement.href
someDOMElement.src
someDOMElement.action
Ajax isteği manipülasyonu
From: https://portswigger.net/web-security/dom-based/ajax-request-header-manipulation
Ajax isteği manipülasyonu zafiyetleri, bir scriptin saldırgan tarafından kontrol edilebilen verileri bir Ajax isteğine yazması durumunda ortaya çıkar ve bu istek bir XmlHttpRequest
nesnesi kullanılarak yapılır.
Sinks:
XMLHttpRequest.setRequestHeader()
XMLHttpRequest.open()
XMLHttpRequest.send()
jQuery.globalEval()
$.globalEval()
Yerel dosya yolu manipülasyonu
From: https://portswigger.net/web-security/dom-based/local-file-path-manipulation
Yerel dosya yolu manipülasyonu zafiyetleri, bir scriptin saldırgan tarafından kontrol edilebilen verileri bir dosya işleme API'sine filename
parametresi olarak geçmesi durumunda ortaya çıkar. Bu zafiyet, bir saldırgan tarafından, başka bir kullanıcı tarafından ziyaret edilirse kullanıcının tarayıcısının rastgele bir yerel dosyayı açmasına veya yazmasına neden olabilecek bir URL oluşturmak için kullanılabilir.
Sinks:
FileReader.readAsArrayBuffer()
FileReader.readAsBinaryString()
FileReader.readAsDataURL()
FileReader.readAsText()
FileReader.readAsFile()
FileReader.root.getFile()
FileReader.root.getFile()
İstemci Tarafı SQL Enjeksiyonu
From: https://portswigger.net/web-security/dom-based/client-side-sql-injection
İstemci tarafı SQL enjeksiyonu zafiyetleri, bir script'in saldırgan tarafından kontrol edilebilen verileri güvensiz bir şekilde istemci tarafı SQL sorgusuna dahil etmesi durumunda meydana gelir.
Sinks:
executeSql()
HTML5-storage manipulation
From: https://portswigger.net/web-security/dom-based/html5-storage-manipulation
HTML5-storage manipulation güvenlik açıkları, bir script'in saldırgan tarafından kontrol edilebilen verileri web tarayıcısının HTML5 depolamasında (localStorage
veya sessionStorage
) sakladığı durumlarda ortaya çıkar. Bu eylem doğası gereği bir güvenlik açığı olmasa da, uygulama daha sonra saklanan verileri okuyup güvensiz bir şekilde işlediğinde sorun haline gelir. Bu, bir saldırganın depolama mekanizmasını kullanarak diğer DOM tabanlı saldırıları gerçekleştirmesine olanak tanıyabilir, örneğin cross-site scripting ve JavaScript injection.
Sinks:
sessionStorage.setItem()
localStorage.setItem()
XPath enjeksiyonu
From: https://portswigger.net/web-security/dom-based/client-side-xpath-injection
DOM tabanlı XPath enjeksiyonu zafiyetleri, bir scriptin saldırgan tarafından kontrol edilebilen verileri bir XPath sorgusuna dahil etmesi durumunda meydana gelir.
Sinks:
document.evaluate()
someDOMElement.evaluate()
İstemci tarafı JSON enjeksiyonu
From: https://portswigger.net/web-security/dom-based/client-side-json-injection
DOM tabanlı JSON enjeksiyon zafiyetleri, bir scriptin saldırgan tarafından kontrol edilebilen verileri, JSON veri yapısı olarak ayrıştırılan bir dizeye dahil edip ardından uygulama tarafından işlenmesi durumunda meydana gelir.
Sinks:
JSON.parse()
jQuery.parseJSON()
$.parseJSON()
Web-message manipulation
From: https://portswigger.net/web-security/dom-based/web-message-manipulation
Web-message güvenlik açıkları, bir script'in saldırgan kontrolündeki verileri bir web mesajı olarak başka bir belgeye göndermesi durumunda ortaya çıkar. Kırılgan Web-message manipülasyonu örneği PortSwigger'in Web Security Academy adresinde bulunabilir.
Sinks:
postMessage()
metodu ile web mesajları göndermek, mesajları almak için kullanılan olay dinleyicisi gelen verileri güvensiz bir şekilde işliyorsa güvenlik açıklarına yol açabilir.
DOM-data manipulation
From: https://portswigger.net/web-security/dom-based/dom-data-manipulation
DOM-veri manipülasyonu güvenlik açıkları, bir script'in saldırgan kontrolündeki verileri DOM içindeki bir alana yazması durumunda ortaya çıkar; bu alan görünür UI veya istemci tarafı mantığında kullanılır. Bu güvenlik açığı, bir saldırgan tarafından başka bir kullanıcı tarafından ziyaret edildiğinde istemci tarafı UI'sının görünümünü veya davranışını değiştirebilecek bir URL oluşturmak için kullanılabilir.
Sinks:
scriptElement.src
scriptElement.text
scriptElement.textContent
scriptElement.innerText
someDOMElement.setAttribute()
someDOMElement.search
someDOMElement.text
someDOMElement.textContent
someDOMElement.innerText
someDOMElement.outerText
someDOMElement.value
someDOMElement.name
someDOMElement.target
someDOMElement.method
someDOMElement.type
someDOMElement.backgroundImage
someDOMElement.cssText
someDOMElement.codebase
document.title
document.implementation.createHTMLDocument()
history.pushState()
history.replaceState()
Hizmetin Reddi
From: https://portswigger.net/web-security/dom-based/denial-of-service
DOM tabanlı hizmetin reddi zafiyetleri, bir scriptin saldırgan kontrolündeki verileri tehlikeli bir şekilde sorunlu bir platform API'sine iletmesi durumunda meydana gelir. Bu, çağrıldığında kullanıcının bilgisayarının aşırı miktarda CPU veya disk alanı tüketmesine neden olabilecek API'leri içerir. Bu tür zafiyetler, tarayıcının localStorage
'da veri depolama girişimlerini reddederek web sitesinin işlevselliğini kısıtlaması veya meşgul scriptleri sonlandırması gibi önemli yan etkilere sahip olabilir.
Sinks:
requestFileSystem()
RegExp()
Dom Clobbering
{% content-ref url="dom-clobbering.md" %} dom-clobbering.md {% endcontent-ref %}
{% hint style="success" %}
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
- Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.