实战 | 记一次实战中SelfXSS+CSRF+越权漏洞的组合拳

Z2O安全攻防 2024-10-22 22:13

0x01 前言

在渗透测试中，经常能够遇到这样一种XSS漏洞，它通常存在于比较隐私的个人信息配置等等功能中，有一个非常鲜明的特点就是“只有自己可见，别人不可见”，XSS漏洞只能攻击自己自然是毫无价值的，因此此类Self-XSS几乎不会被SRC所接受。本文通过对一个在线游戏平台的测试经历，提供一种攻击思路，把原本无害的Self-XSS漏洞与其它漏洞结合起来打组合拳，从而实现无害漏洞从无害到高危的利用。

0X02 比较有“含金量”的Self-XSS

为什么说这个Self-XSS有含金量，且听我慢慢道来。信息搜集的时候我发现一个游戏玩家中心，用于编辑各种个人信息的。

秉着有框就插并且不影响正常业务的原则，我自然而然的把目光投向了“详细地址”这个输入框（其实是因为真实姓名和联系电话都严格过滤所有特殊符号导致无法XSS），既然是联系方式，想来应该是所有玩家都能看见的吧，如果被我找到XSS，那就是存储型XSS到手了，美滋滋。至少当时我是这么想的。

在这个框里输入test1111，然后在页面源代码中Ctrl+F搜索test1111定位其输出位置。算是找XSS的常规操作吧

看这样子一下就反应过来这玩意是输出在JS代码里，是被