当前form页面,传到后台的参数已经如下处理:
".htmlentities($_POST["name"]);
于是试了
+ADw-script+AD4-alert(1)+ADw-/script+AD4-
{{{ Form:: .. }}} .' onevent ='prompt(/XSS/);
.'(( img src=x onerror='javascript:alert(1)
都不行啊,后来发现居然可以利用本地的form绕过,在url中
看来需要测下原来接口一些遗漏的地方了
没有评论:
发表评论