摘要:
某网站存在一个 storeXSS 利用点如下<input type=text value="[xsscode]">可以使用 双引号绕过去属性限制,但是不能采用 < > 比较郁闷开始打算 "style="kj:expression(EXP)<input type=text value=""style="kj:expression(EXP)">后来查了查资料!发现expression是IE 才能使用的!郁闷了!而且要XSS的对象是老外 ,不一定会采用IE ,这样跨站攻击起来了,但是效 阅读全文