SRC挖掘初探之随缘XSS挖掘

Author:Hpdoger@D0g3

最近试着去学挖洞，在测某SRC的一些业务时发现以下几个XSS的点。对于一些请求参数在返回的html中以隐蔽的标签形式出现的XSS，感觉还是挺常见的。这里我写了个Bp的插件用来监听请求并捕获这种情况:SuperTags

下面的案例和讨论如果有什么片面或错误的地方，还望师傅们斧正

登陆跳转处XSS

某处登陆页面看了眼表单，同时跟进事件绑定的对象utils
![image_1d6vk2rs4g541hq8olo1sf275i1g.png-83kB][1]

直接截出登陆验证部分，redata是响应参数，登陆成功为0。host定义为normal.com。这里发现其实在登陆的时候是可以存在一个cb参数的(但之前我登陆的时候并没有察觉，因为是后台有个功能loginout，点击才会附带cb参数到登录页)

其中,getparam方法如下

getParam: function(c_name) {
    var urlParams = location.href;
    var c_start = urlParams.indexOf(c_name + "=");銆€
    if (c_start != -1) {
        c_start = c_start + c_name.length + 1;銆€
        c_end = urlParams.indexOf("&", c_start);
        if (c_end == -1) {
            c_end = urlParams.length;
        }
        return urlParams.substring(c_start, c_end);
    }else{
        return null;
    }
},

这里开发者还是对cb参数进行了意识形态的过滤，如果cb不包含host则强制重定向首页。但是略鸡肋，直接把host放在注释符后就能绕过。
![image_1d6vkg95e1vjv155m1s1n1c7oook3d.png-54.2kB][2]

POC：

cb=javascript:alert(document.cookie);//normal.com

![image_1d6vko6a51n64961h1pcd370647.png-127.7kB][3]

Image处的XSS

这是该厂商的一个移动端业务，在我测之前已经有表哥X进去了，看一下这个洞是如何产生的。