国内不重视的self-xss到底值多少钱

百家 作者:Chamd5安全团队 2021-07-23 12:00:01

加入群要求:

  • 没有团队

  • 刷h1
    如果认识团队h1负责人:从前有座山,可以直接联系
    否则可以发一下h1的全名到公众号,加群

众所周知,XSS有几个分类,比较常见的分类是:存储型、反射型和Dom型。今天来看的报告是一个比较罕见的XSS类型:Self-XSS,就像前段时间风靡一时的TX的那个XSS,个人认为也是一个Self-XSS,有大佬认为可利用,只不过利用条件比较苛刻。所以也可以得出这个Self-XSS只能自己玩玩,其实危害不大。

https://hackerone.com/reports/1029668
截图:

payload:

"><img src=a onerror=alert(1)>123@sdf.com

大概意思就是:
白帽子:hey,大兄弟,你看我用F12修改了下邮箱,然后就发现一个弹窗。
审核:收到,大兄弟,我们已复现成功并且把开发拉出去祭天了。

可以想象现在的观众心情,应该是大概这个样子:
看到美刀太惊讶,本想吟诗夸一夸。
奈何从前读书少,一句卧槽行天下。

没有对比就没有伤害,其实国内之前也提过类似的,当时我还以为自己发现了个存储XSS,直到审核回复如倾盆大雨凉透我的心。
无图无真相:

最后说下Shopify这家厂商,只要是已修复的漏洞,就会自动进行公开,而且赏金还多。好了,我要去注册账号去挖Self-XSS去了。

end


招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析 长期招新

欢迎联系admin@chamd5.org




关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接