m1saka1

摘要： 启动靶机 有留言板和登录功能，很明显是存储性xss，通过留言功能插入xss代码，获取cookie登录后台 先测试过滤 <script>alert(1);</script> 查看源代码发现script被过滤 <input onfocus="alert('xss');">好像只过滤了script 找一个 阅读全文