文章总结： 本文记录了作者参与金融众测活动时发现的客服聊天功能a标签恶意跳转漏洞，通过构造特定payload可实现恶意跳转，最终获得500元奖励。文章展示了漏洞发现过程和利用方法，包括如何绕过XSS过滤，以及如何构造退出URL的payload，为Web安全测试提供了实际案例参考。 综合评分： 76 文章分类： 渗透测试,漏洞分析,WEB安全,SRC活动,漏洞POC

记录一次金融众测水洞500元

原创

小菜鸟

智动心域

2025年10月14日 21:56 山东

某盒子高级众测金融，没事参加了一次，像我们这种菜鸟测金融基本啥也测不出来，分享一个客服聊天处a标签退出或者恶意跳转漏洞

进入网站来到一客服聊天处

过滤了xss一些标签，发送下面playload

比如你有退出的url,也可以这样构造playload

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：智动心域 小菜鸟《记录一次金融众测水洞500元》