限时投稿-记一次补天专属SRC中危漏洞实战

astronaut   ·   发表于 2021-08-20 21:30:47   ·   实战纪实

前言

犹记某位师傅所说,有活动的地方就有可能出现漏洞,毕竟是新的业务点,本次漏洞也是与厂商搞的活动有关

记实

经过信息收集,发现其推出了众测活动,类似于0元试用,这无伤大雅,但其中的众测计划属实耐人寻味,因为我输入了<h1>加油</h1>以后,它返回给我的结果如下图所示

这说明填写众测计划时,是可以执行html语句的,这里可以尝试的操作是构造钓鱼链接,比如<a href="https://bbs.zkaq.cn/">我很来劲</a>

用户名金币积分时间理由
Track-聂风 25.00 0 2021-08-24 16:04:09 活动打赏
Track-聂风 50.00 0 2021-08-24 16:04:00 一个受益终生的帖子~~

打赏我,让我更有动力~

3 Reply   |  Until 2021-12-14 | 2515 View

astronaut
发表于 2021-8-24

我金币呢

评论列表

  • 加载数据中...

编写评论内容

乐伟超
发表于 2021-8-26

童话里都是骗人的

评论列表

  • 加载数据中...

编写评论内容

astronaut
发表于 2021-12-14

最后Q2的jsonp劫持属于纯纯的胡诌,别信

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.