XSS的奇异思路之markdown xss
之前在吐司上看过一篇文章说是可以利用支持markdown对于markdown的解析来绕过xss的过滤实现存储型xss,最近偶然遇到了便尝试整了一波。
首先markdown的语法,用过typora的人都会或多或少的看过一些。例如:
看一下这个图片的语法:![save](D:\Users\xxxx\Desktop\save.bmp)
而在typora里面超链接的语法是[Lou1s](https://xxx/xx/x)
那么仅仅是这样是无法实现我们实现存储型xss的目标的,其实这种语法也支持伪协议
例如:[Lou1s](javascript:alert(1))
[Lou1s](javascript:import('url'))
既然有存储型xss了,可以再进一步试试能不能搞一下RCE,像这种支持markdown的编辑器大多是用在各种笔记上的,有兴趣可以试试child——process 的rce。
最后附上payload链接:
https://github.com/cujanovic/Markdown-XSS-Payloads/blob/master/Markdown-XSS-Payloads.txt