DOM-basiertes Cross-Site-Scripting/XSS
Version vom 7. März 2023, 10:46 Uhr von Linkai.zhang (Diskussion | Beiträge)
- Angriffsart wird auch lokales XSS genannt, da der Server nicht bösartigen Code ausführt.
- JavaScript Code generiert lokal HTML-Elemente dynamisch (z.B. document.write)
- Wenn dieser Code benutzerbasierten Input einliest und nicht richtig bereinigt, kann es schädliche Elemente generieren
- Über einen bösartigen GET-Parameter in die URL kann der Hacker JavaScript Eingabeparameter mitgeben.
- Opfer bekommt Link geschickt und klickt Link an.
- HTML-Element wird generiert und vom Browser ausgeführt.
- Webserver nicht an dem Prozess beteiligt.
![Bearbeiten](javascript:editDrawio("824102702", "xss3.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}