题 目
一、单选题
1.DOM型XSS的输出点在()。
A: 前端
B: 后端
C: 访问服务器
D: 黑客
参考答案:A
2.以下哪一项不属于DOM型XSS的攻击原理()?
A: JS脚本文件能通过DOM进行编辑页面元素
B: JS脚本文件能通过DOM查看页面元素
C: JS脚本文件能通过DOM修改页面元素
D: JS脚本文件能通过DOM创建页面元素
参考答案:D
3.以下哪一项是DOM型XSS不同于反射型XSS的地方()?
A: 需要点击黑客带有恶意XSS的链接
B:  XSS恶意代码会被用户发送到服务器
C: 服务器会回复正确的网站页面
D: 黑客会通过新的服务器获取用户的信息
参考答案:B
二、填空题
1.DOM 是 _________的标准。
参考答案:W3C(万维网联盟)
2.DOM型XSS其实是一种特殊类型的反射型XSS,它是基于_______的一种漏洞
参考答案:DOM文档对象模型
3.在DOM型XSS攻击中,黑客构造的URL参数不用发送到服务器端,可以达到绕过_______________的检测效果。
参考答案:绕过WAF、躲避服务端
三、简答题
1.请简单描述什么是DOM
参考答案:
DOM 是 Document Object Model(文档对象模型)的缩写
DOM 是 W3C(万维网联盟)的标准。
DOM 定义了访问 HTML 和 XML 文档的标准:
W3C 文档对象模型 (DOM) 是中立于平台和语言的接口,它允许程序和脚本动态地访问和更新文档的内容、结构和样式。
DOM中有很多对象,其中一些是用户可以操纵的,如urI,location,refelter等。
客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行。
dom就是一个树状的模型,可以编写Javascript代码根据dom一层一层的节点,去遍历/获取/修改对应的节点,对象,值。
2.请简述DOM型XSS的漏洞原理。
参考答案:
在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,
每个文档对象包含属性、方法和事件。
可以通过JS脚本对文档对象进行编辑从而修改页面的元素。
也就是说,客户端的脚本程序可以通过DOM来动态修改页面内容,从客户端获取DOM中的数据并在本地执行。
js获取子元素基于这个特性,就可以利用JS脚本来实现XSS漏洞的利用。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。