知乎的每一个用户可以修改任何人发的问题,这个功能很有意思,官方对这个功能的解释
,自然要看看这个输入地方是否
xss了,简单测试发现过滤了<>了,但是这年头<>已经不是xss必须的了。按照啤酒@wuyun大神说的
没有过滤"的就xss了,涛涛电脑知识网,那就看看,找到一个问题:
修改问题:
在其后添加" onmousemove=alert(1)// 保存.
然后点击旁边的 邮件邀请 功能这个功能,应该是邀请好友回答这个问题,涛涛电脑知识网,但是这里面没有过滤" 导致触发xss
利用方法,修改热门提问,只要浏览问题用户点击 邮件邀请 就会触发xss...
修复方案:
编码"
作者 possible