• 今天看了小破站一个大佬的分析，感觉思路很有意思，感兴趣的xdm可以到大佬视频下提供的链接进行测试（传送门）这类社交平台的XSS漏洞利用起来其实危害是特别大的，利用XSS能在社交平台上呈现蠕虫式的扩散，大部分资产其实很容易存在这样的问题，也是一种挖高危的好思路。
• 由于up主视频分析比较概括，自己吧源码拉下来再研究和复现一遍，加深印象。
• 最后，JS看来还是得再学一下，学的东西都还给老师了qaq，代码还是理解得不透彻，不过暂且记录下来，有什么问题欢迎各路大佬来指正。

一、私信功能JS的部分代码：

chatgpt对这一部分代码解释：

二、分析原理

1. 首先要理解的是js代码里面的”bilibili-msg-link-placeholder-".concat(e)部分，这部分称为占位符，也可以理解为一个便于后面进行输出的数组变量，代码中看出只要符合url格式的字符串都会被归入占位符数组中，concat(e)可以简单理解为当存在多个符合条件的url的时候按短到长的顺序生成序号1，2，3…，

最后再满足white_list正则的占位符进行拼接并输出
显示效果就是这样

2. 当攻击者故意在URL里面插入”bilibili-msg-link-placeholder-".concat(e)这样的字符串时就有可能导致XSS的发生。

比如发送两条符合条件的url：
https://www.bilibili.com/bilibili-msg-link-placeholder-1
https://www.baidu.com/οnmοuseοver=console.log(99)//

此时占位符的排序是由url长到短排序的，所以
bilibili-msg-link-placeholder-1的值是https://www.baidu.com/οnmοuseοver=console.log(99)//，但是由于格式不符合white_list，最后不会进行超链接的拼接
bilibili-msg-link-placeholder-0的值是https://www.bilibili.com/bilibili-msg-link-placeholder-1，格式符合white_list，最后会进行超链接的拼接

bilibili-msg-link-placeholder-0拼接的结果为

   网页链接
" target="_blank" class="dynamic-link"> 网页链接

最后效果：
可以看到控制台console.log(99)显示出来了。

三、一些疑问

最后的结果到html为什么拼接部分的斜线会转成等号导致漏洞最终生效的？
不太理解。。。滚回去补JS了