官网:http://securitytech.cc/
从“唉,这只是个反射型 XSS 漏洞”到“卧槽,我干掉 CEO 了”
第一幕:失望
事情是这样的,我在测试 Target.com 的 AI 聊天机器人,照例开始丢我的常规 XSS Payload:
<h1>hello</h1>
<i style="color:red">hello</i>
<a href="https://google.com">Hello</a>
<img src="x" onerror="alert(document.domain)" />
全部都执行了。
(按 Enter 或点击查看原图)
(按 Enter 或点击查看原图)
我的第一反应?
“卧槽,XSS!等等……只是反射型。艹。”
Reflected XSS(反射型 XSS)的问题在于:
对很多公司来说,这东西就像你家里飞进了一只蚊子。
- 讨厌?是的
-
- 危险?几乎没有
典型的漏洞赏金平台回复:
- “谢谢你的报告!”
-
- 严重程度:低 / 中
-
- 奖金:$50(运气好的话)
我本来已经准备关闭 Burp Suite 然后继续刷 Netflix,但某个念头告诉我: “等等……再挖一下。”
