前言

前段时间无聊，就来猪头网站搞事，发现了几个xss。而且都是存储型xss。

可能有的朋友不知道xss是什么，xss说白了就是在页面里非法插入一个javascript代码，像我搞事我就用了个alert语句搞恶作剧，但是js还有很多用处，基础的比如可以放盗取cookie的代码，一些大佬还可以用xss渗透内网之类的。具体的朋友们可以自己百度。

第一个（群主已修复）

第一个非常简单，是在上传头像和封面的地方，群主并未在后端做对svg文件的过滤，所以我直接上传了一个嵌入了js代码的svg图片到头像上，效果就是你打开我头像的图片，js就会执行，是非常危险的。目前群主已经修复，在后端应该是做了白名单（我推测的，因为我后面也尝试过绕过），而且还把包里的文件路径给删了，导致%00截断也不行，命令行注入我也试了，也不行，如果有什么大佬感兴趣的话，可以尝试一下绕过。但是群主没有把我已上传的头像删了，大家可以去打开我头像里的图像看一下效果，完全安全，群主修改过了。

第二个（群主暂未修复）

第二个xss，是我在私信功能里发现的，大家可以去看一下私信功能，有个发图片的功能，而这个发图片是以链接的形式，当然你可以直接挂个你自己的钓鱼网站或什么挂了马的网站，但我第一时间的想法是，既然他是一个img的src功能的，那我随便编个假的网址，然后用js里的onerror功能（不知道的朋友可以百度一下,xss常用手法），那不就可以执行我的js了？所以我先发了一个试了一下，发现不行，这是我意料之中的，所以我就打算看一下源码，看是不是需要闭合一下这个函数。私聊功能的图片功能源码是长这样的

我这里是随便填了个地址，我们可以看到，很明显这是可以闭合的，我们可以在我们假的图片的链接后面加一个” 然后前面的变量闭合，我们就可以直接加一个onerror， 然后在onerror语句后面，再空格加个”用来闭合原来应该在链接最后的那个双引号，这样就完美了，除非群主做了转义或对敏感字比如onerror做了限制，但是后面我们的实验发现群主并没有做。

所以，最后，这个完成的代码应该是这样的，我随便写了个图片地址（不存在的地址），然后是用onerror触发prompt语句（因为我发现群主对alert做了敏感字，会被拦截）

https://www.123.com/1234.jpg" onerror = "prompt(2333)" "

然后我们把这个东西插入私聊的图片那个框里，效果会是这样的

点击发送，然后刷新页面，发现这个prompt成功触发了

当然我这里还可以放别的语句，比如盗取cookie啥的，或者解析图片马啥的，但我跟群主也没仇（关键是我构造图片马的能力太差了。。。。。）

最后再给大家看一下源代码中闭合的样子

目前这个群主还没修复，大家可以玩玩（但希望大家不要乱搞事。。。）

谢谢观看！