有个reflector 得插件蛮不错的 可以看看
SRC挖掘初探之随缘XSS挖掘
Author:Hpdoger@D0g3
最近试着去学挖洞,在测某SRC的一些业务时发现以下几个XSS的点。对于一些请求参数在返回的html中以隐蔽的标签形式出现的XSS,感觉还是挺常见的。这里我写了个Bp的插件用来监听请求并捕获这种情况:SuperTags
下面的案例和讨论如果有什么片面或错误的地方,还望师傅们斧正
登陆跳转处XSS
某处登陆页面看了眼表单,同时跟进事件绑定的对象utils
![image_1d6vk2rs4g541hq8olo1sf275i1g.png-83kB][1]
直接截出登陆验证部分,redata是响应参数,登陆成功为0。host定义为normal.com。这里发现其实在登陆的时候是可以存在一个cb参数的(但之前我登陆的时候并没有察觉,因为是后台有个功能loginout,点击才会附带cb参数到登录页)
其中,getparam方法如下
getParam: function(c_name) {
var urlParams = location.href;
var c_start = urlParams.indexOf(c_name + "=");銆€
if (c_start != -1) {
c_start = c_start + c_name.length + 1;銆€
c_end = urlParams.indexOf("&", c_start);
if (c_end == -1) {
c_end = urlParams.length;
}
return urlParams.substring(c_start, c_end);
}else{
return null;
}
},
这里开发者还是对cb参数进行了意识形态的过滤,如果cb不包含host则强制重定向首页。但是略鸡肋,直接把host放在注释符后就能绕过。
![image_1d6vkg95e1vjv155m1s1n1c7oook3d.png-54.2kB][2]
POC:
cb=javascript:alert(document.cookie);//normal.com
![image_1d6vko6a51n64961h1pcd370647.png-127.7kB][3]
Image处的XSS
这是该厂商的一个移动端业务,在我测之前已经有表哥X进去了,看一下这个洞是如何产生的。