限时投稿-记一次补天专属SRC中危漏洞实战
前言
犹记某位师傅所说,有活动的地方就有可能出现漏洞,毕竟是新的业务点,本次漏洞也是与厂商搞的活动有关
记实
经过信息收集,发现其推出了众测活动,类似于0元试用,这无伤大雅,但其中的众测计划属实耐人寻味,因为我输入了<h1>加油</h1>以后,它返回给我的结果如下图所示
这说明填写众测计划时,是可以执行html语句的,这里可以尝试的操作是构造钓鱼链接,比如<a href="https://bbs.zkaq.cn/">我很来劲</a>
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-聂风 | 25.00 | 0 | 2021-08-24 16:04:09 | 活动打赏 |
| Track-聂风 | 50.00 | 0 | 2021-08-24 16:04:00 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
实战纪实
astronaut
发表于 2021-8-24
我金币呢
评论列表
加载数据中...
乐伟超
发表于 2021-8-26
童话里都是骗人的
评论列表
加载数据中...
astronaut
发表于 2021-12-14
最后Q2的jsonp劫持属于纯纯的胡诌,别信
评论列表
加载数据中...