不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

Microsoft Bug赏金报告–存储的XSS漏洞

这篇文章有关Microsoft如何在Microsoft的一个子域上执行Stored XSS Vulnerability的文章。
我对Microsoft域执行了初步侦查,并收集了一些子域。
1.
侦察

为了进行侦查,尤其是对于子域枚举,我使用了诸如Knock,Subrake,Sublist3r,Amass等工具。

切勿依靠单一工具进行侦察,因为您可能会错过目标。

我收集了所有可能的枚举子域,选择了一些要测试的目标。

选择https://storybook.office.com(域已终止)进行测试,并开始了对目标的侦察过程。

其中有一个,我对它进行特权升级和其他问题的测试。

其中,用户定义的输入被存储在目标上,因为这基本上是一个故事发布平台。

我找到了一个用户可以共享其故事的选项。因此,我在这些输入字段上尝试了XSS漏洞。

我使用了一个简单的XSS payload并添加了一个故事。

在下一个屏幕上,是我的XSS payload的弹出窗口,并且是Microsoft门户上的“存储的XSS漏洞”。

向Microsoft报告此漏洞.

转自:EDI安全

赞(0) 打赏
未经允许不得转载:seo优化_前端开发_渗透技术 » Microsoft Bug赏金报告–存储的XSS漏洞

相关推荐

  • 暂无文章

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏