大家好，在本文中，我将分享我在2个TikTok资产发现的XSS漏洞。

当我决定在TikTok 程序中寻找漏洞 时，我花了1个月的时间寻找这个XSS。

当我在TikTok 卖家账户( https://seller-id.tiktok.com/ )上创建产品时，这个 XSS 发现开始了

我在卖家账户的产品名称中插入了 XSS payload。

结果是我得到的https://seller-id.tiktok.com/上没有 XSS 。我决定不再在那里寻找 XSS。

第二天，当我继续测试TikTok Android Apps 资产时，我发现了我的产品的功能。

我试图从上面的Share功能中查看产品 URL 位置。

我得到一个表单的 URL：

https://oec-api.tiktokv.com/view/product/1231414124124124

结果是一样的，这里没有XSS :(

我沉默了片刻，试图查看页面的视图源。

显然我在那里发现了一个易受攻击的 XSS片段，其形式如下：

<meta name='keywords' content='[ "><img src=x onerror=alert()>] , TikTok, TokTok Shop' />

这就是让我放弃的原因，但在我知道回复的片段后，我试图从TikTok 卖家账户（https://seller-id.tiktok.com/）中更改我的产品名称。

现在我使用带有单引号 ( ' )前缀的 XSS payload：

'><img src=x onerror=alert()>

最后出现一个弹出窗口:)

让我们看看来自视图源的响应：

<meta name='keywords' content='[ '><img src=x onerror=alert()>] , TikTok, TokTok Shop' />

是的，'>前缀用于关闭META TAG中的输入值。我在这里存储了 XSS Blind。

我喜出望外，立即向TikTok团队汇报。

报告完问题后，我继续测试，结果发现在我最初的发现中发现了受 XSS 影响的其他TikTok资产的 URL。

受影响的资产是https://shop.tiktok.com/

我还向TikTok团队报告了这一发现，最后获得了1000美金的赏金。

https://hackerone.com/reports/1554048

受影响的资产：

https://oec-api.tiktokv.com/

https://shop.tiktok.com/

报告：4月29日

修复和解决：5 月 13 日

赏金：1000 美元

推荐阅读：

实战 | 记一次对iphone手机游戏的渗透测试

实战 | 记一次HOST头中毒导致的密码重置漏洞挖掘

干货 | SRC和漏洞挖掘中的隐藏参数测试手法和工具总结

实战 | WAF-Bypass之SQL注入绕过思路总结

干货 | Certutil在渗透中的利用和详解

点赞，转发，在看