1.5.5.2.3 DOM-based XSS

Bei DOM handelt es sich um das Dokument Object Model, d.h. es geht um die Auswertung von Code beim Nutzer, während bei diesem eine Webseite angezeigt wird. Bei dieser Variante des Angriffs wird die Webseite über zusätzliche Parameter aufgerufen, die nachher mit verarbeitet werden. Wenn bei diesen Parametern nicht überprüft wird, ob diese JavaScript Code enthalten, wird ggf. JavaScript bei der Verarbeitung ausgeführt.

Das HTMLHyperText Markup Language-Dokument in einem Beispielszenario könnte so aussehen.

<HTML>
  <TITLE>HTML-Beispieldokument DOM-XSS</TITLE>
  <P>Hallo
  <SCRIPT>
  var pos=document.URL.indexOf("username=")+9;
  document.write(document.URL.substring(pos,document.URL.length));
  </SCRIPT></P>
  <P>
  Dies ist ein Beispiel-HTML-Dokument.
  </P>
</HTML>

Es könnte aufgerufen werden mit:

http://www.example.com/index.html?username=
<script>alert(“XSS-Problem!“)</script>