文章总结： 作者在加密平台example.xyz的注册流程中发现callbackUrl参数存在开放重定向漏洞，通过构造恶意链接可跳转至外部域名。进一步测试发现该参数未过滤javascript协议，成功利用XSSpayload窃取会话cookie，组合利用这两个漏洞可实现账户盗用(ATO)。作者已提交漏洞报告并获官方确认。 综合评分： 78 文章分类： WEB安全,漏洞分析,实战经验,渗透测试,安全建设

0164.我是如何通过 XSS 和开放重定向发现账户盗用 (ATO) 的

原创

JEETPAL JEETPAL

Rsec

2026年5月21日 18:57 贵州

在小说阅读器读本章

去阅读

本文章仅用网络安全研究学习，请勿使用相关技术进行违法犯罪活动。

声明：本文搬运自互联网，如你是原作者，请联系我们！

类型：重定向、XSS

大家好，

今天，我想分享一下我发现通过 XSS 和开放重定向漏洞进行账户盗用 (ATO) 的经历。让我们马上开始吧！

因此，狩猎从随机选择一个程序开始，我们称之为 example.xyz. 这是一个加密平台。

我开始逐个枚举子域名，检查是否存在任何可能的子域名被接管的情况，但一无所获。

我使用 Wayback URL 从 example.xyz 获取之前的 URL，然后开始手动查找。我访问了注册页面并开始注册流程。在注册过程中，我注意到一个名为 callbackUrl 的参数。

https://example.xyz/sign-in?callbackUrl=

我决定使用开放重定向有效负载来测试这个参数。

https://example.xyz/sign-in?callbackUrl=https://[email protected]

这个开放重定向有效。登录后，我被重定向到了 evil.com。但这还不足以达到更高的影响，最高可以达到 P3/P4，所以我决定测试 XSS。我尝试了多种 payload，但标签

<>

 都被过滤掉了。因此，我决定使用不同的 payload，例如：

javascript:alert(document.cookie)

这次成功了，我能够使用会话 cookie 弹出警报。

之后我准备了一份报告提交给项目组。几天后，我收到了项目经理的回复。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Rsec JEETPAL JEETPAL《0164.我是如何通过 XSS 和开放重定向发现账户盗用 (ATO) 的》