凭借一手Apple 存储XSS赚取5000美元的故事

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。博客新域名：https://gugesay.com不想错过任何消息？设置星标↓ ↓ ↓背景介绍今天分享国外一个白帽小哥Crypto通过发现Apple某网站XSS而获得5000美元赏金的故事。废话不多说，让我们开始吧～狩猎过程易受攻击的 Apple 服务网站是：https://discussions.apple.com，该服务是苹果用户和开发者讨论问题的社区，如果你在这里注册，可以为自己创建个人资料并帮助他人或从他们那里获得帮助。来看一个简单的配置文件示例：这是一个简单的个人资料，如上图所示，你可以根据需要编辑“位置”和“个人简介”部分。那么如果在修改时加入XSS Payload的话会怎样呢？使用的Payload如下：">将上面的P ………………………………