实战 ｜ XSS漏洞挖掘之旅

前言

闲来无事，今天遇到一个编码问题，想在网上找一个16进制转中文的在线工具，百度了一番，找到了这个网站。一翻尝试，这是什么小可爱，给我转换成乱码了。然后有了这篇文章。

正文

发现这个网站集成了一些小工具，属实不太好用。界面如下图：

随便输入一些内容，看看页面有没有输出，发现是有输出的。

测试一下，看看是否存在XSS，首先先输入payload，发现页面没有反应。然后按F12，发现输出框是被包裹在标签里面的。如下图：

既然被包裹在value中，那么如果我们提前闭合掉标签，然后再输入测试payload，那么这样是否能执行我们的JS代码呢？将测试payload改为如下所示，然后咱们再来验证一下。

"><img src=1 onerror=alert(/XSS/)>

前面的">是为了闭合前面的标签，后面为测试代码。测试结果如下图，JS代码成功执行，弹出窗口。

小结

文章到这里就结束了。看没看完都点个赞呗。

原文始发于微信公众号（小艾搞安全）：实战 ｜ XSS漏洞挖掘之旅