XSS

反射XSS 提交数据后，数据被管理员查看，可以盗取其COOKIES。（xsshs.cn） 通过BEEF控制浏览器。 DOM型XSS 通过闭合JS实现XSS。 XSS分类 fooying.com/the-art-of-xss-1-introduction mXSS 被过滤的XSS Payload，因为（低版本QQ）预览分享功能被重新激活。 代码绕过 长度绕过 如length设置，用闭合方法，修改其length值； 尖括号被过滤怎么办？ 改成onclick激活，避免尖括号即可。 script、onclick等关键字被过滤怎么办？ 大小写修改或者，xz.aliyun.com/t/2936查看不同DOM元素的利用方法 工具 XSStrike XSS Fuzz字典 设置绕过 HTTPOnly 登录成功页面插入XSS实现长期控制