首页 > 其他分享 >【网络安全 | 漏洞挖掘】超出范围的域名存在XSS?我是这样提高危害的

【网络安全 | 漏洞挖掘】超出范围的域名存在XSS?我是这样提高危害的

时间:2024-11-09 12:18:17浏览次数:3  
标签:网络安全 XSS 超出范围 redacted community 漏洞 com

未经许可,不得转载。

文章目录

正文

XSS漏洞有时会被忽视,尤其是当域超出范围时。然而,当这种漏洞与跨域资源共享(CORS)配置不当相结合时,它们可能会成为安全项目范围内的有效漏洞,从而有资格获得奖励。

为了更好地解释这一点,我将举一个真实的例子,该例子来自我在HackerOne平台上遇到的某个项目。我们称之为“redacted.com”,它有一个不在范围的子域“community.redacted.com”。

一天,我在浏览自动化流程结果时,发现“community.redacted.com”域中存在一个XSS漏洞。

img

在查看HackerOne项目说明时,我了解到虽然*.redacted.com域在奖励范围内,但community.redacted.com并不包括在内。起初我感到有些失望,因为我低估了这个漏洞的潜在严重性。

img

标签:网络安全,XSS,超出范围,redacted,community,漏洞,com
From: https://blog.csdn.net/2301_77485708/article/details/143578362

相关文章