分享一点XSS渗透的思路

主站的cookie有httponly保护。

1.找到个子域A.XX.COM的XSS，可过XSS FILTER，但是服务器是ngnix。

2.找到另外一个子域B.XX.COM的php全局变量XSS，该服务器是apache老版本，可以400错误爆出cookie，但是这个XSS只能是URL XSS，不能过XSS FILTER。

遂参照
www.atcpu.com/Article/201106/93852.html
www.atcpu.com/Article/201110/107620.html

写成EXP一枚，流程如下：

1.一个页面内的框架导入子域A.XX.COM的XSS设置xss cookie值，代码为设置document.domain为XX.COM主域，同时将自己页面的document.domain也设为XX.COM主域。

2.同一个页面内的框架再导入B.XX.COM的XSS漏洞文件不带参数，这时候先前设的cookie参数值生效触发XSS绕过XSS FILTER，设置document.domain为XX.COM主域，完成两个框架页的跨域设置。

3.重新导入可过XSS FILTER的XSS，设置爆400的COOKIE，跨框架跨域注入B.XX.COM一个AJAX脚本，取到400错误爆出cookie传回。附上另外一个拐过弯的思路。

一台apache可以400错误爆COOKIE的服务器上有crossdomain.xml,但是FLASH取不到400状态的页面，读不出COOKIE，遂放弃。

http://stackoverflow.com/questions/188887/how-to-access-as3-urlloader-return-data-on-ioerrorevent


作者rayh4c