1.首先要注册两个账号,一个用于xss,一个用于被害者,分别用两个浏览器登录两个账号,模拟两个用户
2.使得其中的一个账号给另一个账号发送私信,内容中插入xss
3.登录另一个账号查看私信
XSS已经执行
邮件收到了XSS拿到的COOKIE
4.使用拿到的cookie登录,登录成功
5.登录进去之后可以修改邮箱或者手机号进一步修改用户密码,修改邮箱、手机信息只验证新的不验证原来的,可直接修改
6.修改信息后即可通过忘记密码重设密码了之后就可以登录APP控制用户的设备啦(当然前提是用户绑定了设备)比较好的一个点子是去给版主发私信,然后在版主的贴子插入xss,这样只要进入论坛主页的用户,即可触发xss
不只是发私信有xss,所有使用该富文本插件的地方都可以插入xss,比如发贴处:
很抱歉发了个贴子,撞到管理员的后台
解决方案:
过滤