公告编辑器处xss
发布作业处,这种有编辑器大概率就存在xss
上传文件名处的xss
前端功能点如下
文件名直接修改如下
<details open ontoggle=confirm(document.cookie)>.png
成功执行js代码
针对于管理员的xss
前端功能点如下,点击发起申请
这里手动再添加下s标签
可以看到是成功解析了s标签,如果没解析也不一定就不存在xss,但是只要解析就大概率存在xss了
存储桶修改response导致xss
首先新建一个txt文件
上传文件功能点
可以看到绝对路径
存储桶域名修改为绑定的CDN域名,后面添加?response-content-type=text/html
这种就属于低危反射型xss
并发绕过限制的存储型xss
地址簿管理
直接添加下面payload会被过滤
<input2 onmouseout=\"alert(1)\">test</input2>
遍历下面数字达到简单的并发效果
成功绕过拦截
这里来说只是self-xss,但是通过下订单选择此地址,再通过并发绕过限制即可盗取目标cookie
某企业论坛的存储xss
漏洞点在评论区
先测试最常见的a标签 发现成功解析 随便打个payload: <a href=javascript:[1].find(alert)>xss</a> 发现有过滤,构造事件属性,测试不太会过滤的事件,复制才会触发: <a oncopy=alert(1)>t 选中t直接复制即可弹窗 银行门户的反射型xss 点击关于我们功能 url中拼接title参数,发现回显到了前端 随便插个payload被waf拦截 总结 如果有可以解析的标签,大概率就能用冷门的事件绕过waf,alert有太多变形,比较好绕过waf,如果输出就对尖括号做了转义,那就只能看运气了。