1.在百度搜索的东西,会在百度个人中心留下搜索历史记录
2.所以我在百度搜索
3.在个人中心会留下记录,会出现XSS漏洞,如图
4.上面连接,会把大写字母转换到小写字母,控制台会报错,如图
5.因为下面图上两个本来应该大写的字母变成小写字母了
6.所以要把大写B和大写C,转码之就不会报错了
-----------------------------------------------------------------------------------
7.这个是self XSS吗??百度搜索每天用的人那么多,如果乱七八糟的网站,强制你搜索这段代码,就不是跨自己了.如果网站这样呢,如图
------------------------------------------------------------------------------------------
8.这里顺便也提交个百度地图另外一边的XSS漏洞,就不会废话了,直接上连接
9.访问之后把鼠标移到左边就会获取地理位置和用户ID
1.百度个人中心XSS代码
2.百度地图XSS
百度个人中心虽然无法获取到cook,但是可以获取用户的搜索历史记录,百度地图虽然获取不到cook,但是可以获取ID对应所在地点
1.百度个人中心因为双引号被过滤,百度地图因为单引号没过滤,百度地图,前两次修复,只是修复了输出点,不是我吹牛,治标不治本,过滤方式会导致出现同样的问题
