l3m0n

摘要： 先膜一发火日巨佬。 注册帐号后登陆进去看到源代码的一些信息。 过滤了双引号、单引号、左尖括号、右尖括号，而且还转义了。前面看到页面是GBK，所以尝试了一下宽字符，发现是可以xss的。 用burp发包了一下。最后到浏览器经过dom，可以实现弹框。 当时发现能xss，于是就把自己的页面发给report 阅读全文