最近,我在一个相当大的网站中发现了一个存储的跨站点脚本漏洞,但是我不确定它是否危险或值得报告。在此网站上,有一个 resource 部分,可供登录用户访问,他们可以在其中发布某些只能由自己使用的个人资源。无法将资源共享给另一个用户。另外,还有一个<组合>页面页面,您可以在其中公开发布内容。我发现了两个可能的漏洞,但我想看看它们是否完全危险。
存储的XSS :第一个漏洞包括资源页,您可以在其中发布链接。第一次发布链接时,它会被清理,并且无法获得任何有用的信息。但是,在编辑链接时,它不会被清除,您可以轻松地插入<script>alert(1)</script>或<script>window.location.href="https://google.com"</script>。
HTML注入:在另一个名为 portfolio 的页面上,用户可以构建投资组合并添加资源。此页面与上一页没有相同的XSS漏洞,据我所知,不可能执行javascript。但是,可以将iframe插入其中。 iframe src不能包含任何javascript,但是我可以使src指向我的资源页面(存储的xss漏洞所在的页面),以便在公共配置文件页面上执行javascript。
问题:此漏洞的问题在于,仅当 I 查看投资组合页面时,此漏洞才有效,因为iframe中的资源页面只能由< em> me 。查看资源页面链接时,只能使用一个会话cookie(我的会话cookie)进行访问。有什么方法可以将 my cookie传递到iframe中,以便可以在任何用户上查看xss漏洞?这甚至是一个漏洞/我可以使其正常工作吗?非常感谢!