WooYun.org

事情起因：

当我在认真学习windows内核编程的时候，像了解下IRP的原理。就开始找这方面的资料，就在百度文库中找到了一篇《IRP原理以及派遣函数基本工作流程》。看完之后觉得这好的文章，一定要和扣扣空间的小伙伴分享，就点击了分享到扣扣空间。

然后我就习惯性的审查元素瞅瞅。就发现分享功能中把百度文库标题传进了value中。

<input id="title" class="view_title" type="text" maxlength="50" value="【IRP原理以及派遣函数基本工作流程】(分享自@百度文库)南邮王下邀月熊——Windows 驱动开发学习..">

假设我们的把想要利用这个地方进行攻击。那应该怎么做？是不是需要一个场景呢？我就想了想利用的场景，前提是我需要去诱导别人去帮我分享这个文章到扣扣空间里，在他帮忙分享的过程中触发我构建好的XSSCODE。
例如这样去让我们可爱的小伙伴帮忙分享：

那么问题来了，如果控制构建的XSSCODE呢？不难发现我们需要做的就是控制value里面的值，也就是百度文库中的标题。那么就尝试去测试一下修改文章标题，而百度文库中修改标题是不需要审核的，但做了简单的限制就是不允许输入一些简单特殊的符号。

刚输入就提示我们标题不能含有/\:*?"<>|等特殊字符哦！估计是在客户端做了验证。那我们就调整下思路，拦截数据试试。

服务端也做了验证，但是我们发现了一个问题！这里&和#是没有被过滤的。