站长之家的self xss

上站长之家查询东西的时候,发现http://ip.chinaz.com/界面会把http头的 User-Agent 里面的内容直接显示在网页上。

尝试burp改包,插入xss代码

直接弹框了。

然而并没有一点卵用。。。

最后插了一遍抓cookies代码,万一打到后台管理员呢?

发表评论

电子邮件地址不会被公开。 必填项已用*标注