摘要：前言 这绝对是我玩过的最乏味的一次XSS。 我使用Burp进行枚举，用高级选项来控制测试范围。 然后我一个接一个的浏览应用程序，特别是要寻找可能有反射型的参数。我还使用了Burp的 Actively scan defined insertion points功能去扫描url参数。 继续Fuzz 枚举 阅读全文