漏洞挖掘365天挑战——Day061:漏洞报告学习之Reflected xss and open redirect on larksuite.com using /?back_uri= parameter.

链接:https://hackerone.com/reports/955606#

通过“ back _ uri”参数,在 larksuite 中发现了一个 XSS 漏洞,这是由于用户提供的数据没有适当的 HTML 转义或输出编码而被反射造成的。这可能导致一个 Javascript 有效负载被注入到易受攻击的端点,并在受害者的浏览器中执行。

我的想法

需要找到所有的输入点,然后测试重定向漏洞和XSS

后续需要列出输入点,lark的输入点太多了

漏洞挖掘365天挑战——Day061:漏洞报告学习之Reflected xss and open redirect on larksuite.com using /?back_uri= parameter.”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s