DOMPurify绕过技术深度解析：从命名空间混淆到DOM Clobbering<\/h1>

前言<\/h2>
在Web安全领域，XSS(跨站脚本)攻击是最常见的安全威胁之一。虽然使用成熟的XSS过滤器如DOMPurify是防御XSS的有效手段，但理解其绕过技术对于安全研究人员和开发者都至关重要。本文将深入探讨两种主要的DOMPurify绕过技术：命名空间混淆\/MXSS和DOM Clobbering。<\/p>

核心概念<\/h2>

1. 命名空间(Namespace)混淆<\/h3>

HTML文档中存在三种命名空间，元素在不同命名空间中的解析方式各不相同：<\/p>

HTML命名空间<\/strong>：标准HTML元素<\/li>
SVG命名空间<\/strong>：SVG相关元素<\/li>

MathML命名空间<\/strong>：数学标记元素<\/li> <\/ol>
关键点：<\/p>

<style><\/code>在HTML中被当作文本，但在SVG或MathML中被当作HTML<\/li>
命名空间混淆常发生在MXSS(突变XSS)后，浏览器第二次解析时命名空间发生改变<\/li> <\/ul> 2. MXSS(突变XSS)<\/h3> MXSS使过滤器在清理用户payload时变得困难，因为相同的解析器连续解析两次payload会产生不同结果。<\/p> 简单示例<\/strong>：<\/p> <\/form<\/span>><form<\/span> id<\/span>=<\/span>"inner"<\/span>> <\/span><\/span><\/code><\/pre>第一次解析时位置会被纠正，第二次解析时因form<\/code>不能嵌套而删除form，导致DOM树突变。<\/p> 3. <caption><\/code>的突变机制<\/h3> <caption><\/code>元素有特殊的解析行为：<\/p> 解析器找到<caption><\/code>开始标记时，会从开放元素堆栈中弹出元素，直到弹出<caption><\/code>元素<\/li> 后续内容会被弹出<table><\/code>，不考虑标签的命名空间<\/li> <\/ul> 突变示例<\/strong>：<\/p> <style<\/span>>本来是<\/span>svg<\/span>命名空间的<\/span> <\/span><\/span><<\/span>a<\/span> id<\/span>=<\/span> 被当作<\/span>html<\/span> <\/span><\/span><\/style<\/span>> 被当作属性 <\/span><\/span><\/code><\/pre>突变后：<\/p> <a id=<\/code>成为文本<\/li> <\/style><\/code>闭合<style><\/code><\/li> 恶意``暴露<\/li> <\/ul> 4. 节点扁平化(Node Flattening)<\/h3> 当嵌套标签达到上限(512层)时，浏览器会进行扁平化处理：<\/p> 将第513层的内容提取出来<\/li> 被扁平化元素的命名空间保持不变<\/li> 扁平化后的<a><\/code>标签不会被弹出(正常情况下嵌套的<a><\/code>会被弹出)<\/li> <\/ul> DOM Clobbering技术<\/h2> 基本原理<\/h3> DOM Clobbering利用HTML元素污染JavaScript命名空间：<\/p> 通过id<\/code>或name<\/code>属性可以直接在JavaScript中访问元素 <div<\/span> id<\/span>=<\/span>"test"<\/span>><\/div<\/span>> <\/span><\/span><script<\/span>>console<\/span>.log<\/span>(test<\/span>); \/\/ 输出DOM元素<\/span><\/script<\/span>> <\/span><\/span><\/code><\/pre><\/li> 特殊标签(<embed><\/code>, <form><\/code>, ``, <object><\/code>)的name<\/code>属性也可以直接访问<\/li> <\/ol> 关键特性<\/h3> 无法覆盖已存在的全局变量<\/strong>：如window.name<\/code><\/p> <\/li> 特殊标签返回值<\/strong>：<\/p> <base><\/code>和<a><\/code>返回URL值<\/li> 会隐式触发toString()<\/code>调用<\/li> <\/ul> <\/li> 多层级污染<\/strong>：<\/p> 多个同名id时，Chrome返回HTMLCollection<\/li> 可用于污染form.attributes<\/code>等属性<\/li> <\/ul> <\/li> iframe污染<\/strong>：<\/p> <iframe<\/span> name<\/span>=<\/span>"test"<\/span> src<\/span>=<\/span>"..."<\/span>><\/iframe<\/span>> <\/span><\/span><script<\/span>> <\/span><\/span>setTimeout<\/span>(() => { <\/span><\/span> console<\/span>.log<\/span>(test<\/span>); \/\/ iframe的window对象 <\/span><\/span><\/span><\/span>}, 100<\/span>); <\/span><\/span><\/script<\/span>> <\/span><\/span><\/code><\/pre><\/li> document污染<\/strong>：<\/p> ``, <form><\/code>, <embed><\/code>等元素可以污染document属性<\/li> 甚至可以污染document.cookie<\/code><\/li> <\/ul> <\/li> <\/ol> DOMPurify绕过实例分析<\/h2> 1. DOMPurify 3.1.0绕过<\/h3> 技术组合<\/strong>：<\/p> <caption><\/code>突变<\/li> 节点扁平化<\/li> <\/ul> Payload结构<\/strong>：<\/p> <table<\/span>><caption<\/span>><\/caption<\/span>><\/table<\/span>> <\/span><\/span><\/code><\/pre>绕过过程<\/strong>：<\/p> 使用<table><\/code>抑制<caption><\/code>的弹出<\/li> 通过扁平化将<caption><\/code>弹出<\/li> 下次解析时将恶意代码(``)弹入HTML命名空间<\/li> DOMPurify不会将<\/style><\/code>识别为标签，从而绕过过滤<\/li> <\/ol> 2. DOMPurify 3.1.1绕过<\/h3> 新增防御<\/strong>：<\/p> 深度嵌套检测(MAX_NESTING_DEPTH)<\/li> 超过深度限制强制删除节点<\/li> <\/ul> 绕过技术<\/strong>：<\/p> DOM Clobbering劫持parentNode<\/strong>：<\/p> 利用HTMLFormElement特性：浏览器自动将带有name属性的子元素挂载到父form对象<\/li> 导致f.parentNode<\/code>返回undefined，破坏深度计数<\/li> <\/ul> <\/li> 组合<form><\/code>突变<\/strong>：<\/p> 第一次解析后嵌套一层<form><\/code><\/li> 再次劫持parentNode重新计数<\/li> 达到255*3=765层，触发扁平化<\/li> <\/ul> <\/li> <\/ol> 完整绕过流程<\/strong>：<\/p> DOMPurify首次解析，修正<form><\/code>结构并嵌套一层<form><\/code><\/li> 通过DOM Clobbering两次重新计数<\/li> 触发扁平化，弹出<caption><\/code><\/li> 浏览器第二次解析，将恶意代码弹入HTML命名空间<\/li> <\/ol> 防御措施与后续修复<\/h2> DOMPurify的后续修复主要包括：<\/p> 拦截DOM Clobbering攻击<\/li> 增加正则表达式匹配MXSS模式注意：过度依赖正则可能引入新的问题<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 通过分析这两次DOMPurify绕过，我们可以得出以下XSS过滤器绕过的通用思路：<\/p> 利用解析差异<\/strong>：<\/p> 命名空间混淆<\/li> MXSS突变<\/li> 浏览器与过滤器的解析不一致<\/li> <\/ul> <\/li> 污染关键属性<\/strong>：<\/p> DOM Clobbering污染过滤器使用的变量<\/li> 劫持parentNode等关键属性<\/li> <\/ul> <\/li> 组合多种技术<\/strong>：<\/p> 如同时使用节点扁平化和DOM Clobbering<\/li> 分层绕过不同防御机制<\/li> <\/ul> <\/li> <\/ol> 理解这些技术不仅有助于发现和修复安全漏洞，也能帮助开发者更安全地设计和使用XSS过滤器。<\/p>