某电竞俱乐部小程序文件上传 XSS

前言

本次测试属于公益类型的 SRC

XSS

点击头像处

点击修改头像

如果直接传 .html 后缀会被拦截，应该是限制了黑名单

将其后缀改为 PNG 绕过，上传成功回显路径

访问弹窗