WooYun.org

导致xss的地方是专辑名称，其实导致xss的地方有两处，一是专辑首页有源代码<a title="xxx">xxx</a> 其中xxx就是专辑名称，二是点进该专辑，然后下方有处分享到各大网站的功能，源代码有<div data="....xxx"> 此处引用了专辑标题，由于没有过滤双引号导致两处xss发生的可能，先加个"> 发现代码两处均侧漏，如图：

我们首先会想到采用"><script>alert(1)</script>这种方式来进行代码植入，其实是不行的，当闭合掉原来标签的时候，标签之外字符串就被转义了，也就是上述的<script>以及之后的所有<>均被转义，所以只能采用触发事件导致XSS，但是蘑菇街有他自己的过滤方式。各大事件属性大部分被过滤，比如onload onfocus expression style= alert( onclick 等等好多都被过滤掉了。一开始我以为只是过滤为空，所以测试过使用 ononloadload 这种方式去测试，后来才发现原来过滤的字符替换成了一个空白键。由于我用firefox没有显现出来，所以纳闷了好久，用IE的时候才发现被替换掉了。第二处存在于div标签中，style= 字符串被替换成了空白键，所以使用expression这种方式是行不通了。而绕过alert( 则是可能，使用alert/**/(1)就可以绕过其过滤机制，而且有少部分事件属性并未过滤，这里我采用了onmousewheel属性，就是一个没用过滤的事件，我们在专辑填入dd"/onmousewheel=alert/**/(1)⁠⁠//⁠> 发现在标签处滑动鼠标滚轮，成功弹窗，因为在>之前也会加个空白键，所以后面用//防止代码失效。如图：

两处均发生xss，IE下测试成果，firefox不兼容此事件，所以没有成功。或许还有其他事件没有过滤，这里就没测试了。觉得用户使用滚轮的概率还挺高的。