1.留言人处没有做过滤,涛涛电脑知识网,
2.留言处采用的过滤方式过于粗放
?uid=aibaqiu
留言人处在服务端限制了字符个数,输入<script>alert(/xss/);</script>,返回结果<script>alert(/xss/)
所以采用多次留言的方式来绕过
分别为
1.*/</script>
2.*/alert(/xss/);/*
3.<script>/*
使用/**/来注释掉两个留言人中间的html代码,涛涛电脑知识网,便可绕过
修复方案:
过滤
作者 善心
