摘要：日常工作过程中，偶然发现一个网站登录页面，在页面返回包中存在一个隐藏参数“mess”，且该页面部署了百度RASP进行防护，本文介绍如何发现隐藏参数以及如何通过参数污染方式造成XSS攻击。涉及信息较为敏感，请各位看官见谅。 一、参数污染 HTTP参数污染，也叫HPP（HTTP Parameter Po 阅读全文