摘要:
漏洞赏金并不总是需要数月的侦察或复杂的零日漏洞。有时,在正确的环境中放置一个合适的有效载荷就能快速带来回报。在这篇文章中,我将带你了解我是如何通过手动测试、ChatGPT辅助的有效载荷构建以及传统的持久性策略,偶然发现了一个反射型XSS漏洞的——不到一个小时就赚了800美元。
本文内容包括:
- 真正的侦察步骤
- 死胡同和失败的有效载荷
- ChatGPT 提示示例
- 现场调试时刻
- 完整、现实的 PoC
- 报告策略
🎯 目标背景
该项目是私人项目,但该公司是生产力领域知名的 SaaS 平台。范围仅包括:
https://app.target.com
没有子域名,没有移动应用程序——只有主要的网络应用程序。
🔍 步骤 1:轻度侦察(10 分钟)
我登录了该应用程序,点击了一下,然后注意到仪表板上有一个基本的搜索功能:
https://app.target.com/search?q=meeting+report
我粘贴了一个随机测试字符串:
?q = TEST123
它在 DOM 中反映如下:
< div class = "result-info" >显示 TEST123 的结果</ div >
这看起来像是一个安全的反射——基本的 HTML 转义正在进行。但我知道现代应用程序通常会在 React/JS 模板中渲染这些数据。
❌ 第 2 步:尝试明显的有效载荷(10 分钟)
我测试了常见的嫌疑人:
<script>alert(1)</script>— 呈现为纯文本<img src=x onerror=alert(1)>— 逃脱"><svg onload=alert(1)>— 被阻止
然后我打开Burp并查看响应源。
在 HTML 中,我发现了以下内容:
< script > window.searchQuery = "会议报告"; </ script >
啊哈!输入被嵌入到了 JS 字符串中。这意味着JavaScript 上下文,而不是 HTML 上下文——完全不同的负载策略。
🤖 步骤 3:向 ChatGPT 询问 JS 上下文有效负载(5 分钟)
我提示:
“给我反射型 XSS 的有效载荷,其中输入嵌入在 JavaScript 字符串上下文中,例如:
var x = "<user input>";。
ChatGPT 回馈:
我试过这个
什么都没发生。倒影看起来完好无损。
⚠️ 步骤 4:误报和调试(10 分钟)
答复如下:
看起来它应该已经起作用了。
所以我:
- 在 Chrome 中尝试过 — 没有结果
- 在 Firefox 中尝试过 — 没有结果
- 想法:也许 CSP 正在阻塞?
- 打开 DevTools → 未找到 CSP 标头
- 禁用扩展程序 — 仍然没有结果
💡 然后我意识到:该应用在页面加载后动态加载了第二个 JS 文件。该 JS 在执行之前就立即覆盖了全局window.searchQuery变量alert(1)。
这是缺失的部分。
🧪 步骤 5:调整有效载荷时间(5 分钟)
ChatGPT 建议将有效载荷包装在setTimeout():
";setTimeout(()=>alert(1));//
我对其进行了 URL 编码:
? q =%22%3BsetTimeout(()=>alert( 1 ))% 3 B% 2 F%2F
✅ 轰隆隆。延迟 100 毫秒后,警报弹出。
证明有效载荷在被后续脚本覆盖之前能够存活足够长的时间。
🔒 第 6 步:评估影响
这个 XSS 是:
- 反映在经过身份验证的仪表板中
- 没有
Content-Security-Policy标头 - 每次请求时都会发送
HttpOnly=false会话cookie
💥 这意味着我可以制作一个恶意链接,例如:
https://app.target.com/search?q=%22%3BsetTimeout(()=>alert(document.cookie))%3B%2F%2F
如果登录用户点击,我可以:
- 窃取会话 cookie
- 修改 DOM(例如,用于网络钓鱼的虚假表单)
- 通过 JS 窃取数据
📝 第 7 步:撰写报告(5 分钟)
我的 HackerOne 报告包括:
- 带有 PoC 有效载荷的易受攻击的 URL
- JavaScript字符串注入的解释
- PoC直播截图
- 建议的解决方案:上下文感知转义 + CSP
- 注意:没有访问客户数据,只使用我自己的会话
⏱ 时间线:
- 🕒 发现 Bug:启动后约 45 分钟
- 📝 举报:立即
- ✅ 分类:2 小时内
- 💰 第二天颁发 800 美元赏金
🎓 你可以学到什么
🔹始终查看原始响应- DOM 渲染可能会隐藏真实上下文🔹了解您的上下文- HTML、JS 字符串、JS 事件处理程序、URL - 都需要不同的有效载荷🔹 ChatGPT 是一个强大的助手- 尤其适用于有效载荷头脑风暴🔹不要在第一次失败时放弃- 浏览器怪癖和脚本顺序很重要🔹即使是小错误也会有好的结果- 如果它们在现实世界中可以利用
🧰 使用的工具:
- Chrome + Firefox
- Burp Suite 社区
- 开发者工具
- ChatGPT
- URL编码器
💬 最后的话
这并非什么高深的SSRF(服务请求伪造请求)或链式0day漏洞。它只是一个时机恰当、位置恰当的反射型XSS漏洞,通过智能测试和快速迭代发现。为此,该项目支付了800美元。
你不需要是个天才——只要坚持不懈、好奇心强、具有技术意识即可。
rust语言全栈开发视频教程-第一季(2025最新)
详细目录
mac/ios安全视频
QT开发底层原理与安全逆向视频教程
linux文件系统存储与文件过滤安全开发视频教程(2024最新)
linux高级usb安全开发与源码分析视频教程
linux程序设计与安全开发
-
![我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元]( "我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元")
-
windows网络安全防火墙与虚拟网卡(更新完成)
-
![我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元]( "我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元")
-
windows文件过滤(更新完成)
-
![我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元]( "我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元")
-
USB过滤(更新完成)
-
![我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元]( "我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元")
-
游戏安全(更新中)
-
![我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元]( "我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元")
-
ios逆向
-
![我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元]( "我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元")
-
windbg
-
![我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元]( "我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元")
-
还有很多免费教程(限学员)
-
![我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元]( "我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元")
-
![我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元]( "我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元")
-
windows恶意软件开发与对抗视频教程
-
![我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元]( "我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元")
原文始发于微信公众号(安全狗的自我修养):我如何使用 ChatGPT 在 45 分钟内发现反射型 XSS 漏洞 — — 并赚取 800 美元
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论