WooYun.org

这个功能在：http://book.weibo.com/newcms/tp_p4c22t65.html这个页面中的分享处，不过今天我说过不报CSRF了，所以这次是一次反射型的XSS。
接口：http://book.weibo.com/newcms/i/weibo_send.php
这个接口会检查referrer，当referrer错误时会直接放回以下内容：

{"code":-1,"message":"\u8bf7\u6c42\u6e90\u4e0d\u5141\u8bb8[http:\/\/error.referer]"}

可以看到referrer被返回来了，而且页面的Content-Type如下：

Content-Type: text/html; charset=utf-8

于是乎我就开始寻找构造XSS的过程。在Chrome和Firefox下，referrer都会被进行url encode导致无法插入HTML标签，因此这里我就没有深入。而在IE下，referrer是按照原始请求的格式传回给该接口的服务端，而这个接口没有经过任何过滤就直接返回了，所以在IE下，我们可以通过referrer进行XSS。具体构造过程如下：
设想过程，访问URL

http://a.zhchbin.xyz/?a=<img src=1 onerror=alert(1)>

然后跳转到：http://book.weibo.com/newcms/i/weibo_send.php中，则可以完成XSS。
不过遇到第一个问题就是上述请求会被IE的XSS过滤器拦截，怎么办呢？我想到的是关闭它，为什么？因为他拦截的是我们自己的域名啊！于是在我们接口的响应头中返回一个头部信息：

X-XSS-Protection: 0

关闭之后一切好办了，插入一个img标签，在onerror的时候eval一下一个字符串加载我们服务端的js文件，完成攻击。