在三月份的某次测试中,测试到深夜,无果,我一般习惯扒拉扒拉自己的xss平台,(因为它有时候没有提醒),我就看到了一个没有见过的域名被打过来.

我当时凌乱了,这那来的站,没测啊,这个域名,我访问了返回的location字段打过来的域名,很棒的原谅绿.这个颜色我测过.

扒拉了许久,找到了这个页面(这个是我测试注册的号.不是百度,大佬轻喷)

众所周知,我们遇见了某个网站的客服系统时,势必要去x它,正常输入一个,哇,裂图了,恭喜,喜提一枚xss漏洞,

标签没有正常解析,像这样.

唉,关机,不测了,又是零漏洞的一天.我当时捋了捋思路,既然打过来了cookie,肯定哪里出了问题.1.留言的时候有xss2.聊天时有xss漏洞我只是在这两点插入了js代码.难道是?留言处,这个第三方组件很有趣,我直接找到了官网,可以注册使用,当即注册了一个账号测试.深入测试一下到底哪里出了问题.我看到后台的xss代码在留言处并没有解析,那么试试聊天处.我就这样打开了页面.(左边管理员,右边测试窗口.)

然后我就发现了猫腻,客户输入的时候, 他会解析输入的标签内容

既然以及解析了标签,那么离xss漏洞就剩一步了,先弹个窗试试.第一次测的时候,竟然直接在这解析了

onclick 获取img 里面的id_棒打某客服系统的反射xss,去获取客服账号权限相关推荐

  1. onclick 获取img 里面的id_红魔5S游戏手机如何解锁bl获取第三方面具root权限

    自从苹果阵营发布S系列,安卓系列也学习苹果的步伐,开始发布S系列,这不努比亚也发不 了今年夏天的游戏手机,红魔5S游戏手机.红魔5S相对于红魔5其实从配置来看,三大件配 置变化并不大,主要还是细节上的 ...

  2. mongodb查询数据库表里总记录数count_documents()和获取记录里面的name字段的值docView[“name“].get_utf8().value.to_string()

    1.先开始写点起因,就是最近开始搞mongodb的c++开发,结果呢,光是装各种驱动就花了两天.再加上视频教程里的testmongo.cpp的代码,在新版本驱动下根本就不能运行,我就想着重写一下,功能 ...

  3. Android 使用java 代码获取res 里面的value 定义的数组

    现在res value 里面定义了一个array.xml 内容如下 <?xml version="1.0" encoding="utf-8"?> & ...

  4. 获取cookie里面的值

    这里讲解一下获取cookie里面的值的两种方法: 第一种: let allcookies = document.cookie; function getCookie(cookie_name) {var ...

  5. 获取响应里面的cookie的方法

    使用方法: R.cookies.get_dict()   获取响应返回的cookies 转载于:https://www.cnblogs.com/kaibindirver/p/8888656.html

  6. 获取androdmanifest里面的meta-data

    /* * Copyright 2017 JessYan * * Licensed under the Apache License, Version 2.0 (the "License&qu ...

  7. jQuery html()方法获取tr/td/th标签的HTML的代码获取不到,只能获取到里面的值

    jQuery html()方法获取tr/td/th标签的HTML的代码获取不到,只能获取到里面的值 下载有这样一段dom <div id="div-a" ><tr ...

  8. PHP 怎么随机获取数组里面的值

    注意array_rand随机返回的是KEY值的集合 <?php srand((float) microtime() * 10000000); $input = array("Neo&q ...

  9. 获取table里面的td中的值

    $("#trId").children("td").eq(0).text();    //当前行的第一个<td>的值    <td>下标 ...

最新文章

  1. #pragma pack(1)的作用
  2. [转帖]Runtime, Engine, VM 的区别是什么?
  3. 细数二十世纪最伟大的十大算法
  4. .Net 程序员走向高端必读书单汇总
  5. 一文看尽10篇目标检测最新论文(SpineNet/AugFPN/LRF-Net/SABL/DSFPN等)
  6. 123. 买卖股票的最3佳时机 III
  7. 全方位分析web前端如何进行性能优化
  8. Python玩转各种多媒体,视频、音频到图片
  9. dh算法 理论依据_DH算法原理
  10. mybatis select 返回值long null_Mybatis框架(二)
  11. 面试准备每日五题:C++(二)——mallocnew、宏、volatile、constvolatile、(a)和(a)
  12. Object_clone
  13. npm-scripts 在 windows 下的兼容问题
  14. DFS-分布式文件系统对比
  15. Nginx 缓存配置
  16. 面试题:CSS3实现折角效果
  17. OA系统行业解析:中小型企业OA选型常见问题
  18. 百练_2801:填词
  19. Html5之canvas清除特定矩形、getContext、fillStyle、fillRect、clearRect、strokeRect
  20. python聊天小程序支持私聊和多人_Python实现多人在线匿名聊天的小程序

热门文章

  1. 使用JFreeChart做成柱状图写入word的总结
  2. javascript的参数_如何使用JavaScript制作参数家具
  3. 计算机片头,如何制作专属片头,在电脑上制作只属于自己的视频片头
  4. CSS滚动条样式设置
  5. 使用Python请求http/https时设置失败重试次数
  6. Realme GT Neo2T ROOT 解锁BL教程
  7. 帝国网站管理服务器配置信息,帝国cms 服务器设置
  8. 帝国cms 未审核 showinfo.php,帝国CMS自动审核发布信息脚本
  9. 腾讯阿里工程师所热衷的DPDK到底是个什么东西?该如何学习?
  10. 四川省打造粮食统计调查创新技术的窗口