前言

前几天看到 B 站 up 主公孙田浩投稿的视频「QQ被盗后发布赌博广告，我一气之下黑了他们网站」，看完后不禁感叹为啥自己没有那么好的运气......实际上这就是一个中规中矩的 XSS 漏洞案例，在安全圈子里面应该也算是基本操作，正好博客以前没有记录过类似的文章，那么本文就来还原一下这个攻击过程。

鉴别网站

下面是一个经典的 QQ 空间钓鱼网站：

域名分析

钓鱼网站最直观的就是看域名，可以看到目标网站域名 ：qq.xps.com 尽管域名中出现了 qq 字样，但是一级域名却是 xps.com 这一点就直接暴露了钓鱼网站的本性。

早期还有一种利用拉丁字母注册的域名伪造钓鱼网站的案例，这种就比较逼真了，下面国光简单列举一些：

OPPO 官网 真假域名

# 真域名
www.oppo.com

# 假域名
www.οppο.com

• 11-23从webpack开始发现的漏洞大礼包
• 10-21在渗透测试中遇到的某站源代码泄露 代码审计
• 10-27CVE-2020-14386：Linux内核AF_PACKET权限提升
• 05-31XCTF2021-Final-DubboWriteUp:SSRF-
• 05-12轻量级开源SAST工具semgrep分析
• 05-26520_APK_HOOK
• 10-21利用不安全的JSONP绕过SSO实现账户接管（分析
• 11-06WebLogic-XMLDecoder反序列化漏洞分析
• 05-24SOCasS(把SOC当作一种服务)的架构部署和技术
• 11-13一次旁站信息泄露的dedecms站点渗透
• 10-21ApacheSolrReplicationHandler漏洞浅析(CVE
• 11-12UEditor编辑器任意文件上传漏洞分析
• 11-17高级的MSSQL注入技巧
• 05-13JavaAgent从入门到内存马