一、前言
文件上传是发现XSS漏洞的好机会。那么如何在文件上传时找到 XSS呢?
二、文件名造成的XSS
https://hackerone.com/reports/403692三、元数据造成的XSS
元数据是提供有关其他数据的信息的数据。你可以简单地称它为数据的数据。在图片元数据(metadata)中嵌入XSS Payload了,使用元数据来触发我们的 XSS payload。手动创建元可以使用exiftool,下图为在元数据中写入 xss payload
参考链接:
https://hackerone.com/reports/964550
四、SVG 文件XSS
如果Web应用程序允许上传 SVG(可缩放矢量图形)文件。尝试通过 SVG 文件制作 XSS payload。
可缩放矢量图形 (SVG) 是一种基于 XML 的矢量图像格式,用于支持交互性和动画的二维图形。
参考链接:
https://hackerone.com/reports/148853XSS常用Payloads:
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS%20Injection#xss-in-js-context
原文始发于微信公众号(安全帮Live):实战 | 文件上传中挖XSS技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论