漏洞現象描述:
前幾天社區的小夥伴 lawliet ,社區分享技術文章的時候,反饋從微信公眾號,瀏覽文章的時候,彈出了cookie(原因是因為文章中在填寫腳本的時候存在),證明社區在手機端存在存儲型xss,但是pc瀏覽器端是正常的.
當時心裡一顫,感覺這開源程序太不靠譜了(壞笑!。。。,明明是在推鍋),好吧,只能自己看一下社區的源碼,感覺應該問題好找到,但是社區代碼比較複雜,經過一頓翻騰,終於找到了對應的源碼所在位置。如下:
article_info['message']); ?>
手機端wifi設置代理 --------》pc burpsuite 8080端口,然後通過burpsuite抓包,抓取返回的數據包如下:
通過pc上瀏覽器查看源碼如下:
仔細比對上面兩個截圖中的差異就會知道pc端是經過了實體編碼的,而手機端是沒有做實體編碼的,
於是將源碼yy,p了一下,然後註釋掉上面原有php語句,具體如下圖
於是再去burpsuite上抓取手機端的包已經經過了實體編碼如下圖:
手機端再次瀏覽lawliet的文章就ok了
在此感謝社區小夥伴 lawliet反饋的漏洞bug,及烏雲很白對於
的討論
閱讀更多 Web安全陪跑團 的文章