一次 xss 意外通殺了整個愛奇藝主站 - 網安 - 專業的網絡安全產業、社區、知識平臺

0x01 xss類型：

1.反射型XSS (你提交的數據成功的實現了XSS，但是僅僅是對你這次訪問產生了影響，是非持久型攻擊)

2.存儲型XSS (你提交的數據成功的實現了XSS，存入了數據庫，別人訪問這個頁面的時候就會自動觸發)

3.DOM型XSS（通過js來觸發xss攻擊）

0x02 XSS能做什么？

1.盜取Cookie(用的最頻繁的)

2.獲取內網ip

3.獲取瀏覽器保存的明文密碼

4.截取網頁屏幕

5.網頁上的鍵盤記錄

0x03 怎么檢測是否存在XSS?

啊哈哈，見到框框就插唄，想辦法讓瀏覽器彈窗（alert，例如:

1.最經典的彈窗語句：

<script>alert(1)</script>

一般證明XSS是否存在，就是在正常頁面傳參，然后構建參數讓網頁彈窗。如果彈窗成功，就存在XSS。
XSS所執行惡意代碼實際上是JS語句，我們一般需要構建一對閉合標簽（這個是定義Js的標簽) 但是也是有其他可以執行的語句，具體如下：

2.偽協議彈窗經典代碼：

<iframe src=javascript:alert(123)>

3.事件型彈窗經典語句

<img src='a' onerror=alert(1) /> 事件也是可以執行JS的：例如： onerror=alert(1)  該句的意思就是在加載文檔或圖像時發生錯誤時，會執行alert(1)

一次xss意外通殺了整個愛奇藝主站

0x04 漏洞挖掘

1. Self xss ?

剛開始在登錄界面掃碼登錄的時候，我是很驚訝的，因為我也不知道xss是在哪觸發，而且在edu群上看到某個大佬說：”他們團隊挖到好幾個愛奇藝的漏洞”，這讓我更深信不疑地認為是碰巧觸發了他們payload。可是我又很好奇在哪里觸發的，于是開始功能點審查。

后來在昵稱處發現了xss語句。

忽然腦海里浮現出一個月前我在app端寫過xss語句，那時候APP端并沒有彈窗，可是今天陰差陽錯在web端觸發了。

啊哈哈，這時候我才知道，原來觸發的是我自己的payload，就這樣開開心心拿去提交了。

不過這樣提交，愛奇藝src還是不收，他們覺得這是self-xss危害不大，直接駁回了我的漏洞。

2. 不僅僅是 self xss

之后過了幾天，我也沒找到能讓其他賬戶訪問個人中心的辦法，但我覺得不能放棄這么一個存儲型xss。

于是我又對功能點進行排查，發現進入查看粉絲列表、圈子、視頻、訂閱處這幾個位置也彈窗了。

這時候只要我們只要把頁面鏈接，發送給其他人，讓對方訪問即可彈窗（觸發惡意代碼）。

再次證實這里存在存儲型xss。

3. 更多xss

參考前面思路：愛奇藝主站昵稱處沒有過濾，導致其他功能點都觸發xss，并且各分站都存在反射xss，那么我們可不可以在視頻上傳處，上傳個xss視頻呢，于是我把經典xss語句打入上傳視頻的標題處，然后保存。

不過這時候并沒有彈窗：

接下來我們訪問數據管理-》查看粉絲列表-》點擊視頻，這時候出現了彈窗，因為這里我上傳了四個測試視頻，于是彈窗四次。

而且重新訪問也依舊彈窗。

說明存在存儲型xss。

https://www.iqiyi.com/paopao/u/1676657674/...

這時候我們只要把頁面鏈接發給其他人訪問，即可竊取對方的cookie，而且上傳視頻標題處沒有做任何限制。

利用起來危害極大。

啊哈哈，你以為就這樣結束了，不不，后面還有驚喜。

這里還是和前面一樣，先上傳視頻，把經典語句xss打入上傳視頻的標題處。

（漏洞已修復，目前不會彈窗）

這時候就需要尋找其他功能點，看看是否能訪問視頻就彈窗，這時候我發現了播單功能。

先新建播單，選擇帶有xss語句的視頻等待審核通過。

這時候刷新發現彈窗了。

這里我選擇了三個視頻，所以彈窗三次。

這時候我們只要把鏈接發給其他人即可觸發彈窗。

最后審核了一天半吧，下午安全開發哥哥審核了，然后我很愉快地獲得70金幣。整個頁面似乎要全改版了。

其實我還發現其他地方的xss漏洞，這么一改，應該得重新找了。啊哈哈。

4. 大膽猜測

根據前面的昵稱處和視頻處的xss漏洞，我有個大膽的猜測，它可能并沒有過濾xss語句，只是屏蔽了

于是我在點進播單里的視頻，發現彈窗，并且這里有個很有意思的地方，只要加入url末尾處加?list=19rqxbpnta，任何視頻都會彈窗

不過這個我并沒有提交，最近這陣子被修復了，不知道被哪個孩子交了，挺心疼的。

除此之外，我今晚還發現一個更有趣的彈窗，這里的思路呢，主要是有一個xss瘋狂追求者，一直在我xss視頻下評論1

這時候我想到一個問題，如果把app的當前頁面鏈接發送給別人，那么會不會也會造成xss攻擊呢。

于是我在一個存在xss的視頻下寫好評論，并且在app端把評論當前的頁面鏈接復制發送給其他人，訪問后發現也會造成xss。

事實證明我的想法是正確的。http://m.iqiyi.com/m5/bubble/comment_c5706307029116621.html?platform=10&p1=2_22_222&social_platform=link![](https://mmbiz.qpic.cn/mmbiz_png/BwqHlJ29vcrwGvv2icWondic3EqM91suM8fQNhibXDm3h8UtyAlib3ZAJ8SE5S7V3U0V2DoRdl3nt2Gavu16LL1gTw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1)

0x05 結尾：

其實愛奇藝用戶昵稱和視頻標題xss漏洞只是修復了我提交的頁面，那些沒有發現的頁面依舊存在存儲性xss，如果你有耐心的話，可以找一找。

例如web端昵稱處一直沒修復，導致各分站都存在反射型xss。

原創: 掌控安全-hpb1
原文鏈接：https://mp.weixin.qq.com/s/4Vkz_xrNcZICJwD...