这是我在逛游戏突然想到的一个思路,原本想挖个逻辑漏洞,结果发现到几个反射型xss
话不多说,直接来看(不是APP的)
首先进入官网,一波信息收集之后感觉没有什么可以挖逻辑的地方结果发现微信登录进去之后可以发帖子,然后在发帖子上传图片的地方找到一处xss
直接构造payload
然后就弹窗了,这个发帖功能可以将帖子发布到社区上,但是到APP上没找到这个帖子(小小测试了一下),应该是要管理员审核后才能看到,所以试试看能不能打到cookie
0 投票者