Dom-based xss漏洞是基于文档对象模型的一种漏洞,Dom是一个与平台,编程语言无关的接口,它允许程序或脚本动态访问和更新文档内容,结构和样式,处理结果能够成为显示页面的一部分。
简单来说,原本某个地方不太可能出现xss的,但是经过javascript的操作之后产生了xss
document.write() 可以接受native编码值
当xss被拦截的时候,就可以使用native编码绕过
https://tool.oschina.net/encode?type=3
Dom xss靶场
发现url里的dom_xss可以接受传参
输出弹窗语句
被安全狗拦截了
使用native编码绕过
成功绕过