destoon 短消息中心xss指谁打谁

之前对带有”on”的都进行了过滤,增加了难度

首先选取一个对象我们去发消息

1
然后抓包,往里面填充我们的xss代码
2

3

本来这里就是一个标签过滤不好的问题,but,我们的乌云君直接把我提交的给二合一了。然后,然后我就捂烂了。可是细心的我们发现完全可以搞一个蠕虫。不过由于我下载的版本比较完了,官方的告诉我已经修补了。
·

好吧。。改天抽空写个xss 蠕虫来玩玩

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录