漏洞挖掘 | 一处图片引用功能导致的XSS
原创 Se7nsec HACK学习呀
2019-12-08原文
山重水复疑无路
漏洞点:站点产品评论处
初步测试
一 开 始 尝 试 XSS , 发 现 程 序 有 过 滤 , 提 交 均 显 示 Tags are not
permitted,最后测出来的是过滤 < ,不过滤 >
因为提示速度比较快,猜测前端有一层检测。尝试绕过前端检测,burp拦截
正 常 提 交 的 内 容 , 替 换 xss
payload后发送,发现会自动跳转回首页,由此发现程序后端也有内容检测,
这里直接xss暂时行不通。
查看编辑器的其他功能:
图 片 上 传 :
可 上 传 aspx ( 其 他 可 能 解 析 后 缀 均 已 尝 试 ) , 不 能 解 析 并 跳 转 至 首 页 。
评论0