示例1. Coinbase 评论难度：低

URL：coinbase.com/apps

报告链接：https://hackerone.com/reports/104543

报告日期：2015.12.10

奖金：$200

描述：

对于此漏洞，报告者识别出 Coinbase 在呈现文本时，实际上在解码 URI 的编码值。 对于那些不熟悉它的人（我在写这篇文章的时候），URI 中的字符是保留的或未保留的。 根据维基百科，保留字是有时有特殊意义的字符，如/和&。 未保留的字符是没有任何特殊意义的字符，通常只是字母。

因此，当字符被 URI 编码时，它将按照 ASCII 转换为其字节值，并以百分号（%）开头。 所以，/变成%2F，&成为%26。 另外，ASCII 是一种在互联网上最常见的编码，直到 UTF-8 出现，它是另一种编码类型。 现在，回到我们的例子，如果攻击者输入 HTML：

代码语言：javascript复制

This is a test

代码语言：javascript复制%3C%68%31%3E%54%68%69%73%20%69%73%20%61%20%74%65%73%74%3C%2F%68%31%3ECoinbase 实际上会解码该字符串，并渲染相应的字符，像这样：

代码语言：javascript复制This is a test使用它，报告者演示了如何提交带有用户名和密码字段的 HTML 表单，Coinbase 会渲染他。如果这个用户是恶意的，Coinbase 就会渲染一个表单，它将值提交给恶意网站来捕获凭据（假设人们填充并提交了表单）。

重要结论

当你测试一个站点时，要检查它如何处理不同类型的输入，包括纯文本和编码文本。特别要注意一些接受 URI 编码值，例如%2f，并渲染其解码值的站点，这里是/。虽然我们不知道这个例子中，黑客在想什么，它们可能尝试了 URI 编码限制字符，并注意到 Coinbase 会解码它们。之后他们更一步 URL 编码了所有字符。

http://quick-encoder.com/url 是一个不错的 URL 编码器。你在使用时会注意到，它告诉你非限制字符不需要编码，并且提供了编码 URL 安全字符的选项。这就是获取用于 COinbase 的相同编码字符串的方式。

2. HackerOne 无意识 HTML 包含难度：中

URL：hackerone.com

报告链接：https://hackerone.com/reports/112935

报告日期：2016.1.26

奖金：$500

描述：

在读完 Yahoo XSS 的描述（第七章示例四），我对文本编辑器中的 HTML 渲染测试产生了兴趣。这包含玩转 HackerOne 的 Markdown 编辑器，在图像标签中输入一些类似ismap= "yyy=xxx"和"'test"的东西。这样做的时候，我注意到，编辑器会在双引号里面包含一个单引号 - 这叫做悬置引号。

那个时候，我并没有真正理解它的含义。我知道如果你在某个地方注入另一个单引号，两个引号就会被浏览器一起解析，浏览器会将它们之间的内容视为一个 HTML 元素，例如：

代码语言：javascript复制

This is a test

some content

代码语言：javascript复制test你可以看到，我能够将一堆 HTML 注入到标签中。所以，HackerOne 回滚了该修复版本，并重新开始转义单引号了。