介绍：

在本文中，你将看到 Microsoft Forms 中一个反射型跨站点脚本 (XSS) 漏洞的详细信息。

Microsoft Forms是一种流行的基于 Web 的工具，用于创建调查、测验和其他表格。它允许用户创建表格和调查，与他人共享，并在一个集中的位置收集回复。但是，原作者发现可以将恶意 JavaScript 代码注入表单，而毫无戒心的用户可以执行这些代码。

漏洞详情：

该漏洞存在于Microsoft Forms处理用户输入的方式中，具体来说，由于未正确验证用户输入，从而允许攻击者将恶意 JavaScript 代码注入id参数，攻击者可以通过注入的 XSS Payload 生成恶意链接，然后利用此漏洞接管经过身份验证的帐户或对应用程序中经过身份验证的用户会话执行状态更改操作，甚至使用易受攻击的域制作钓鱼页面等等。

易受攻击的产品： Microsoft Forms

易受攻击的网址：https://forms.office.com/pages/responsepage.aspx

易受攻击的参数：id

利用：

要利用此漏洞，攻击者需要制作一个包含恶意 JavaScript 代码的特制链接，然后，攻击者需要诱骗用户单击链接，代码将被执行。这可以通过社工策略来完成，例如网络钓鱼电子邮件或即时消息。

PoC：

1. 导航至目标URL：

https : //forms.office.com/Pages/ResponsePage.aspx

2. 将 XSS Payload 注入 id 参数值并添加到步骤 1 中的易受攻击的 URL

Payload代码：

d1bvs%3c%2fscript%3e%3cscript%3ealert(`XSS`)%3c%2fscript%3ec579g

XSS注入示例：

https://forms.office.com/pages/responsepage.aspx?id=d1bvs%3c%2fscript%3e%3cscript%3ealert(`XSS`)%3c%2fscript%3ec579g

3.打开步骤 2 中的 URL

4.当用户打开XSS注入链接时，XSS payload将被触发:

披露时间表：

2022 年 9 月 27 日——通过 MSRC 门户发现并报告漏洞

2022 年 9 月 29 日——MSRC 团队确认， MSRC 处理工单移至 Review/Repro

2022 年 10 月 4 日 — 赏金授予和 MSRC 工单状态从审查/重现更改为开发

2022 年 10 月 21 日——MSRC 状态更改为预发布和完成

2023 年 1 月 22 日——公开发布安全公告

====正文结束====

原文始发于微信公众号（骨哥说事）：反射型XSS获微软$3000漏洞赏金奖励