文章总结： 本文介绍了一次小程序SRC赏金挖掘实战。作者发现头像上传处未严格校验后缀，将jpg改为html即可上传包含恶意脚本的文件，实现存储型XSS。结合论坛功能，攻击者可诱导用户点击链接窃取数据。最终该漏洞获得500元赏金，展示了非常规文件上传点的安全风险。 综合评分： 82 文章分类： SRC活动,WEB安全,实战经验,漏洞分析

「赏金」XSS获取赏金的姿势

明暗安全

2025年12月31日 08:45 四川

以下文章来源于代码防线 ，作者代码防线

代码防线 .

专攻 Web 漏洞挖掘、内网渗透、免杀对抗、代码审计硬核技术，主攻企业 SRC 漏洞挖掘与 CNVD 漏洞上报，用实战筑牢安全防线！网安之路漫漫修远，幸得各位师傅同行。与君共勉，一路向前！感谢关注！

点击上方蓝字关注“公众号”

前言

现在XSS在常规位置的地方相对少了很多，但是我们可以通过别的位置来触发XSS，达到利用的效果，就如同下面这篇文章

正文

目标是一个小程序

里面的功能点相对简单，我们点进去编辑头像的地方

上传头像，抓包，原本的上传后缀是jpg，经过测试，发现换成html后缀也可以保存成功

既然是能传html，那就可以直接变存储型xss，内容加入