文章总结： 本文记录了一次渗透测试实战，在企管系统发票管理处发现存储型XSS漏洞，输入普通JS载荷可直接执行。通过注册第二个测试账号验证存在IDOR漏洞，成功越权修改其他用户发票数据，实现XSS危害升级。案例展示了漏洞组合利用的扩散风险。 综合评分： 82 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验,安全建设

一个XSS本来没啥，直到它认识了IDOR

原创

pippybear pippybear

安全无界

2026年6月8日 08:00 上海

在小说阅读器读本章

去阅读

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

话不多说直接上正文。

这次渗透的目标依旧是一个登录系统，虽然还是老样子没有提供测试账号，但是不慌，有注册功能，简单注册一个账号进入系统，发现似乎又是一个企管系统。

针对这些功能进行常规测试，XSS，SQL注入一通甩，结果发现发票管理处似乎存在存储型XSS，如下。

就很标准，直接输入普通js payload即可直接执行，完全没有任何安全过滤，直溜溜的输出。

但是这似乎能怼的空间有限呀，最多的危害也似乎仅限于企业内部其他能访问发票的用户，还不够发散呢。

大家到这里估计也想到了接下来试探的思路，一个是IDOR，另外一个就是CSRF，哈哈，尽可能的扩大影响区域，直接开干。

立马另外注册了一个测试账号，直接越权操作发票。结果一试就成功了，emmmm，真的不要太丝滑，直接省略一大波工作。

使用被越权账号查看，如下，确实成功越权修改了发票，实现XSS危害升级。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全无界 pippybear pippybear《一个XSS本来没啥，直到它认识了IDOR》