无聊想挖挖百度的xss,不得不说,经过乌云那帮大牛挖掘后,百度过滤的真他妈严实。。。
不过还是被我挖到一个反射型的xss,由于危害不大,只是反射型的,所以就当做一个案例来讲吧
百度认证官网,我的投稿,那里的写文章里,插入视频处对用户的输入过滤不严格,让我们有机可乘,如图:
点击插入视频,然后
在视频地址写上我们的xss代码,我这里写的是onclick事件,鼠标点击触发的,然后点击确认
可以看到出现个视频窗口,点击那个视频窗口,发现弹窗了,嘎嘎 ~~
利用代码:" onclick=alert(/www.hlhacker.com/) "
PS:转载时请注意出处,本人原创,切勿盗版,盗版必究!!!
© 黑狼's blog | 关注网络安全 | Powered by LOFTER