百度某平台储存型XSS#小丑自我欺骗版 – Mason'Blog

百度某平台储存型XSS#小丑自我欺骗版

2023-8-29 21:44

|

1,706

|

1

|

173 字

|

1 分钟内

0x01 漏洞发现方式

该漏洞出现在百度某平台的站点管理站点提交功能下

地址：https://xxx.baidu.com/lxxxxxxmit/index?site=https://xxxx.com/

在该功能下添加地址显示为如下

源码中显示如下

title值是添加上去的地址

尝试构造http://xxxxx.xx/xxxxxxx.xml”><script>alert(1)</script><“a

用此来闭合标签

0x02 漏洞证明

点击添加后成功弹窗

退出清除浏览器缓存后重新登录依然弹窗

学艺不精，对XSS研究甚少所以没有后续利用姿势，只能打打自己玩一玩这样子

Xss 实战漏洞百度

评论

Tr4ack

8 月前
2023-8-29 21:46:54

🤣👉🤡

发送评论编辑评论

Markdown

|´・ω・)ノ

ヾ(≧∇≦*)ゝ

(☆ω☆)

（╯‵□′）╯︵┴─┴

￣﹃￣

(/ω＼)

∠( ᐛ 」∠)＿

(๑•̀ㅁ•́ฅ)

→_→

୧(๑•̀⌄•́๑)૭

٩(ˊᗜˋ*)و

(ノ°ο°)ノ

(´இ皿இ｀)

⌇●﹏●⌇

(ฅ´ω`ฅ)

(╯°A°)╯︵○○○

φ(￣∇￣o)

ヾ(´･･｀｡)ノ"

( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃

(ó﹏ò｡)

Σ(っ °Д °;)っ

( ,,´･ω･)ﾉ"(´っω･｀｡)

╮(╯▽╰)╭

o(*////▽////*)q

＞﹏＜

( ๑´•ω•) "(ㆆᴗㆆ)

颜文字

Emoji

小恐龙

花!