Hack tutorial: Cosa è il DOM-Clobbering.

Aggiornamento: giu 1


Autore: Damiano Capo

Data Pubblicazione: 25/03/2021


Per la serie Hack tutorial, oggi parleremo del DOM-Clobbering, ovvero quella tecnica in cui si inseriscono tag HTML all'interno di una pagina per manipolare il DOM (Document Object Model) - ovvero la rappresentazione ad oggetti della struttura e del contenuto di un documento web - al fine ultimo di manipolare il comportamento del codice JavaScript presente sulla pagina.


Questa tecnica consente di modificare il comportamento di un JavaScript all'interno di una pagina e può venire in aiuto in varie tecniche di attacco, ad esempio quando un XSS non risulta possibile nel modo classico di sfruttamento.


La forma più comune di DOM clobbering utilizza un elemento di ancoraggio per sovrascrivere una variabile globale, che viene quindi utilizzata dall'applicazione in modo non sicuro, come la generazione di un URL di script dinamico.


Ma per comprendere meglio questa tecnica di injection, è opportuno avere un’idea di quale sia la gerarchia nel DOM e le HTML-Collection.


Gerarchie DOM (Document Object Model)

IL DOM


Il DOM (Document Object Model) definisce la struttura logica dei documenti e il modo in cui essi sono accessibili e manipolabili e risulta fondamentalmente l'interfaccia di programmazione per documenti HTML e XML.


Quindi si tratta dell'interfaccia dalla quale ogni pagina web impleme