XSS
反射XSS 提交数据后,数据被管理员查看,可以盗取其COOKIES。(xsshs.cn) 通过BEEF控制浏览器。 DOM型XSS 通过闭合JS实现XSS。 XSS分类 fooying.com/the-art-of-xss-1-introduction mXSS 被过滤的XSS Payload,因为(低版本QQ)预览分享功能被重新激活。 代码绕过 长度绕过 如length设置,用闭合方法,修改其length值; 尖括号被过滤怎么办? 改成onclick激活,避免尖括号即可。 script、onclick等关键字被过滤怎么办? 大小写修改或者,xz.aliyun.com/t/2936查看不同DOM元素的利用方法 工具 XSStrike XSS Fuzz字典 设置绕过 HTTPOnly 登录成功页面插入XSS实现长期控制