17-存储型XSS测试 · Web安全攻防

![](https://img.kancloud.cn/41/e0/41e066af9a6c25a24868d9667253ec98_1241x333.jpg) ***** ## 存储型XSS测试 ### 环境搭建 1.下载ROCBOSS：https://www.rocboss.com/ 2.按照文档进行安装 ### 定向挖掘XSS漏洞 XSS漏洞可以存在于个人资料出,文章发表处或者留言评论处 ### 黑名单审计私信位置没有被实体化,可以进行XSS,但是被黑名单过滤查看system\\util\\Filter.php文件没有过滤details和ontaggle ### 绕过过滤,触发XSS ~~~ "><details open ontoggle=eval("\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3aalert('xss')")><" ~~~