XSS的奇异思路之markdown xss

之前在吐司上看过一篇文章说是可以利用支持markdown对于markdown的解析来绕过xss的过滤实现存储型xss，最近偶然遇到了便尝试整了一波。

首先markdown的语法，用过typora的人都会或多或少的看过一些。例如：

看一下这个图片的语法：![save](D:\Users\xxxx\Desktop\save.bmp)

而在typora里面超链接的语法是[Lou1s](https://xxx/xx/x)

那么仅仅是这样是无法实现我们实现存储型xss的目标的，其实这种语法也支持伪协议

例如：[Lou1s](javascript:alert(1))

[Lou1s](javascript:import('url'))

既然有存储型xss了，可以再进一步试试能不能搞一下RCE，像这种支持markdown的编辑器大多是用在各种笔记上的，有兴趣可以试试child——process 的rce。

最后附上payload链接：

https://github.com/cujanovic/Markdown-XSS-Payloads/blob/master/Markdown-XSS-Payloads.txt

posted @ 2021-11-16 09:09 Lou1s 阅读(522) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部