一种很鸡肋的XSS,我喜欢叫它【No refresh Xss】

Finger (Save water. Shower with your girlfriend.) | 2014-02-19 12:48

可能有的小伙伴们遇到过这样一种xss

比如留言版,我们在插入xss测试代码提交的时候(比如简单的<script>alert(1)</script>),在点击提交后并且未进行页面刷新前会造成XSS效果,而当我们刷新页面之后却发现我们提交的内容被过滤了,很鸡肋的说,审核时看到过好多这样的案例(由于实际效果简直比反射型Xss还鸡肋,并且至今未见到好的利用案例,所以都是不通过的)。

这是一种由于Ajax无刷新效果未过滤造成的Xss,我喜欢叫它【No refresh Xss】,可能叫它No refresh Xss不准确,但我确实不知道它的学名应该叫什么,所以发帖想看看小伙伴们有没有对此有研究的。

[原文地址]

相关讨论:

1#

小森森 | 2014-02-19 13:17

好像是一种典型的自己插自己……

2#

adm1n (屌丝注定孤独一生) | 2014-02-19 13:18

不知道,帮顶

3#

Rookie | 2014-02-19 13:19

昨天测试一套程序 直接用 admin 登陆网站前台 发布日志内容<script>alert(1)</script> 其他会员浏览这篇日志触发 xss 但是其他会员发布同样的日志内容 会直接被过滤

4#

jeary ((:??办么怎,了多越来越法方象抽的我)) | 2014-02-19 13:26

以前经常见到这种,当弹出来的是很开心,然后一个F5,嚓...

5#

D&G | 2014-02-19 13:37

http://zone.wooyun.org/content/9886

6#

Finger (Save water. Shower with your girlfriend.) | 2014-02-19 13:45

@D&G 我说的这也是一种self-xss 可能具体情况不太一样

7#

小胖胖要减肥 | 2014-02-19 13:54

http://zone.wooyun.org/content/2202 这种差不多么,直接post过去,不弄ajax的话应该能触发吧

8#

奎尼 (>///<"') | 2014-02-19 13:54

DOM self xss.

9#

saline (碧池就是碧池) | 2014-02-19 13:56

@Rookie 同遇到过,程序会判断当前用户不是admin的话就调用某个函数进行过滤之类的

10#

px1624 (aaaaaaaaa) | 2014-02-19 14:12

传说中的一次性XSS

11#

李白 | 2014-02-19 19:28

还有这个http://wooyun.org/bugs/wooyun-2010-037219当时看到不要紧一按编辑就弹了.

12#

ksc | 2014-02-19 19:48

这种绝大部分是程序员为了省事直接把你输入的内容未过滤通过js插入到html页面中

但是后端入库的时候是过滤了的

13#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-02-20 09:18

自爆菊花型,没啥用。

留言评论(旧系统):

[石万里] @ 2014-02-20 15:37:26

谁说没用…… 搞社工的时候,诱骗网站管理员很有用~自爆一下,然后截图,然后以技术牛的身份忽悠管理员或者网站编辑…… 总有些不明真相的会上当~

本站回复:

你大爷的,那你还不如PS个图发过去……