WooYun.org

0x01
能提交的XSS限制比较严格了，之前找过好多XSS都不满足乌云的要求没敢提交，这回这个看似满足斗胆提交一次- -#
0x02
闲话不多表，首先主角登场 http://www.oneplus.cn/

我们先买个东西，找贵的买啊（前提是有货，说个题外话，前两天上市的Mate8看起来不错哦^_^）：

购买之前要先建立收货地址，这次瞄中的地方是手机号码：

可以看到，前端还是做了处理的。
所以我们决定抓包修改手机号码：

为了方便起见把该报文放到repeater里面：

我们先测试一下手机号码的长度：

对比上下两张图，第一张超长（超过20个字符）报错，而下面的图片为最长的20个字符，返回正常的信息。
下面在测试一下对于特殊字符是否有过滤：

从图中可以看到，如果输入了特殊字符，则会直接返回一个html网页，而不是正常返回的json数据。
那我们看看对双引导有没有过滤，过滤了尖括号后，双引导可以称得上是头号杀手了：

没有过滤双引号
没有过滤双引号
没有过滤双引号
重要的事说三遍。
最终修改完成的地址为下面：

提交订单，返回订单编号，点击进去：

找找看，有没有我们的手机号信息：

可以看到，确实是有的，可以说已经成功一半了，下面alert一个窗户，证明一下自己吧！

什么？有特殊字符？什么鬼。
已经查复，机智的我，发现，alert被过滤了（我也是醉了，我以为只有小说里才会过滤alert）
好吧，换个函数，用prompt去试试吧：

最终，我们虽然不能alert，但是prompt了《一个1》（偶像代言的手机就弹个小说出来吧）出来。

0x03
后面再说几句：
首先，手机号码的字符数只有20位，如果要构造具有攻击性比较强的载荷可能需要大牛利用短连接等奇门淫技来试试，小菜我证明出来也就该洗洗睡了。
其次，这个订单有有效期，不过即使是过了有效期的订单，也会存在在系统中，过期的订单界面我没有去查看，因为还没有过2个小时，嘿嘿。