一个存储型xss的bypass案例

翻译：

原文地址:https://medium.com/bugbountywriteup/story-of-a-stored-xss-bypass-26e6659f807b

漏洞类型:存储型xss

作者:Prial Islam Khan

 

……

最近我在测试一个私人网站，在该网站中，用户可以添加他们的个人信息。我注意到一个名为Secret Key的输入，它允许用户处理付款并将交易信息存储到应用程序中。

所以我输入正常的xss的payload:

“>

它被过滤了，页面的代码如下：

<img img" class="form-control" rel="gp" data-size="20" data-character-set="a-z,A-Z,0-9">

从这个页面代码我们能够看出来:

1、“和> 没有完全被过滤

2、危险标签被过滤了，比如过滤后变成img img

 

所以我现在有两种可能的方法去执行javascript代码，第一种方法使用某种方法去绕过<的过滤，第二种方法是添加恶意的HTML属性去执行javascript文件。所以我尝试了很多种方法去绕过<,但是行不通。我现在打算去使用第二种方法(添加一个恶意的HTML标签)，所以我输入了以下xss的payload

“ OnMouseOver=prompt(1)

页面回显如下:

我可以去添加一个HTML属性，但是这个括号被完全过滤了，所以我继续输入以下payload:

“ OnMouseOver=prompt`1`

页面回显如下:

但是代码没有被执行，仔细看了一眼，这个payload执行的话只需要一个",完整payload如下:

“ OnMouseOver=”prompt`1`

页面回显如下:

看起来很不错，现在我将我的鼠标指针移动到输入处，这个OnMouseOver事件执行了XSS成功弹窗

谢谢阅读，我希望有时间将会写更多的帖子