文章总结： 本文分享企业SRC实战案例，通过客服场景文件上传功能进行漏洞挖掘。当直接上传HTML、SVG文件不解析时，将文件名修改为XSS语句后成功在客服端触发攻击，最终确认为中危漏洞并完成提交修复。 综合评分： 72 文章分类： WEB安全,漏洞分析,SRC活动,实战经验,应用安全

企业赏金SRC实战案例三

原创

信通云服 信通云服

信通云服

2026年5月6日 16:15 海南

在小说阅读器读本章

去阅读

以下分享在企业SRC一个简单的实战案例，内容进行打码，和图片内容替换，漏洞均已提交修复。

漏洞挖掘案例

还是先登录进去熟悉业务

分析是一个客服场景，尝试拉起用户端与客服端。

成功拉起聊天后

打开用户端，尝试上传文件html、svg等，发现不解析，打开就下载。

尝试将文件名修改为xss语句上传，发送给客服。

打开客服端，发现成功攻击到客服端

当上传特殊文件无效时，可以尝试将文件名修改为xss语句，最后也是成功确认中危

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信通云服 信通云服 信通云服《企业赏金SRC实战案例三》