国内不重视的self-xss到底值多少钱

• 没有团队

• 刷h1
  如果认识团队h1负责人:从前有座山，可以直接联系
  否则可以发一下h1的全名到公众号，加群

众所周知，XSS有几个分类，比较常见的分类是：存储型、反射型和Dom型。今天来看的报告是一个比较罕见的XSS类型：Self-XSS，就像前段时间风靡一时的TX的那个XSS，个人认为也是一个Self-XSS，有大佬认为可利用，只不过利用条件比较苛刻。所以也可以得出这个Self-XSS只能自己玩玩，其实危害不大。

https://hackerone.com/reports/1029668
截图：

payload:

"><img src=a onerror=alert(1)>123@sdf.com

大概意思就是：
白帽子：hey，大兄弟，你看我用F12修改了下邮箱，然后就发现一个弹窗。
审核：收到，大兄弟，我们已复现成功并且把开发拉出去祭天了。

可以想象现在的观众心情，应该是大概这个样子：
看到美刀太惊讶，本想吟诗夸一夸。
奈何从前读书少，一句卧槽行天下。

没有对比就没有伤害，其实国内之前也提过类似的，当时我还以为自己发现了个存储XSS，直到审核回复如倾盆大雨凉透我的心。
无图无真相：

最后说下Shopify这家厂商，只要是已修复的漏洞，就会自动进行公开，而且赏金还多。好了，我要去注册账号去挖Self-XSS去了。