记一次CSDN文件上传漏洞XSS攻击

前言

作为一个程序员，一直充满好奇心，没事就喜欢找找漏洞，试想一下CSDN是否存在XSS漏洞，目前该漏洞已提交官方，现分享分析过程用于各位技术学习。

漏洞分析

站点上传图片后可通过拼接参数进行执行特定的文件类型，导致可执行到相应的文件代码，可被恶意利用，进行XSS攻击等。

漏洞截图

漏洞链接

https://img-community.csdnimg.cn/images/1e3c28eebf304eb48ca1272e4d7df42a.png

修复方案

图床禁用response-content-type参数

免责声明

该漏洞已提交至官方，各位请勿恶意利用，网络非法外之地！

本文作者

Soujer