文章总结： 文章分享了作者在Bugcrowd挖掘XSS漏洞的实战案例。通过subfinder和httpx进行资产收集与筛选，利用ffuf发现有效端点，关键在于使用Arjun发掘出隐藏参数title。由于参数值未经过滤直接回显至title标签，作者构造payload成功触发XSS。随后扩展字典又发现两个类似漏洞，最终三个漏洞均获认可并收到赏金，体现了工具链配合与参数挖掘的重要性。 综合评分： 65 文章分类： SRC活动,WEB安全,渗透测试,安全工具

Arjun发掘隐藏参数到xss

原创

内容来自互联网 内容来自互联网

禾盛安全

2025年11月25日 16:48 云南

我如何在 Bugcrowd 上找到我的前 3 个 bug

在这篇文章中，我将谈谈我是如何在 Bugcrowd 的公开漏洞赏金计划中找到我的前 3 个有效漏洞的，以及我是如何获得报酬的。

故事始于我在 Bugcrowd 上选择了一个公开项目，我称之为target.com。这是一个通配符项目。我做的第一件事是使用subfinder和securitytrails.com枚举子域名。在收集到大约 5000 个子域名后，我使用httpx查找出哪些子域名处于活动状态，并重点关注了其中的 200 个活动子域名。

过了一段时间，我找到了这个子域名：vuln.target.com。它显示的页面没有任何有价值的信息，所以我决定使用ffuf和common.txt字典对该子域名进行模糊测试。之后，我发现aboutus.html是一个有效的端点。我打开了它，但里面没有任何内容。

接下来，我使用Arjun来查找隐藏参数——结果发现有一个名为title的反射参数。当我给它赋一个随机值时，它反映在了<title></title>标签内的源代码中。

按回车键或点击查看完整尺寸的图片

如您所见，这里没有编码，所以我只能直接添加mrx，它确实生效了。现在为了尝试 XSS 攻击，我直接添加了最经典的 payload 

按回车键或点击查看完整尺寸的图片

现在，我使用相同的技术，并借助一个更大的字典文件（您可以在这里找到：forall_main.txt）找到了它。利用这个更大的字典文件，我找到了两个额外的端点：license.html，它有一个名为?title的易受攻击参数；以及 error.html，它有一个名为?PASSWORD的易受攻击参数。所有这些端点都通过被利用。

最终这三个 XSS 漏洞都被接受并获得报酬：

按回车键或点击查看完整尺寸的图片

希望你喜欢这个 🙂

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：禾盛安全 内容来自互联网 内容来自互联网《Arjun发掘隐藏参数到xss》