文章来自" bgbing安全"，未经授权，禁止转载（如发现抄袭本文，欢迎举报，联系黑子黑，将获取奖励！）

本文来自真实的挖掘过程，所以内容是尽可能厚码再厚码！

⦁ 前言

故事线：未授权访问 => 在尖括号被转义的情况下成功插入xss  => 审核定性为self-xss => 提升危害至存储型xss => 收米下机

⦁   未授权访问与XSS的梦幻联动

首先用一个app敏感信息提取工具（关注公众号，回复app提取工具），app里有一个公开访问的展示页，后台url在这个展示页的注释里头，然后没鉴权

后台长这样，未授权进去的，第一反应sql注入和xss，本文着重讲解后者

新建测点找输出位

对于这俩输出点，要么闭合标签，要么闭合引号。但该站点已对尖括号进行转义

所以尝试利用事件执行xss，这里我主要采用与用户接口(鼠标、键盘)相关的事件，如click、mouseover等。看看效果

同样的操作可对该站点上千位客户进行攻击，在xss平台坐等鱼儿上线。似乎可以打完收工了，但有人要我加班，是谁我不说

⦁ 加班

懒得当老师，所以我决定再找一处可以前台访问的功能点，并在那里插入xss。回到后台，注意这里

找到一处可以导入svg的地方

先写一个纯洁的svg，看看输出点

该站点将svg标签替换为symbol标签，并只输出xmlns属性值（这里写一些奇怪的语句会直接报错，不予考虑），那只能在rect标签上做改动或新建其它标签了。

看我planA

本地测试ok

可导入svg后发现，onmouseover事件扑街（可以fuzz，但效率较低，想想还是算了）

再来planB

本地测试ok

但script标签扑街，只有孤独的alert(/xss/)。我的想法和planA一样，先放着找找其它功能点吧

比如创建超链接

老样子，瞅瞅输出点

看样子重定向是拿捏了，试试伪协议能不能成功

没过滤哈，保存配置去前台访问一下

拿下

收米下机

⦁ 总结

1、巧用事件打开局面；

2、佛系挖洞；

3、深究功能点，提升危害。

本文是bgbing安全内部bro师傅的投稿，bgbing安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

本文作者：辞令_WhITECat

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/176999.html