前段时间无意中挖掘了一个存储型xss漏洞。目前漏洞已提交给厂商,厂商已确认是问题。
在web端发现了一个xss漏洞,小程序、app端打开,都可以弹框。
构造payload:复制文章的payload(必须是上一行有空格)可以触发xss漏洞,自己写入触发不了
1、打开网站
2、举例复制文章中以下这条payload(必须是上一行有空格)(可以在网上找类似的,或者自己构造这种场景)
4、复制payload到输入框,可以看到页面弹框
5、此时已经弹框了,想想还有没有利用的点,发现还有导入的功能
导出以上存在xss漏洞的文件,到web端导入
以下为成功调用导入的接口
可以看到,导入以后依旧弹框
注意观察这几个payload中的标签<div></div>,都不在一行。也就是为什么一定要复制文章的payload(必须是上一行有空格)才能触发
发现还有APP端,干脆也试一下
6、APP端导入,正常弹框
三、结论
最终结论,自己写的payload触发不了(因为不太好做到把<div></div>标签给放两行),只能复制文章中带有一行空格的payload,才能触发xss漏洞。猜测可能和<div></div>的位置有关
以下的<div>标签在一行上,未触发xss漏洞
如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品
https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374
技术交流请加笔者微信:richardo1o1 (暗号:growing)