所以,只要我发现了XSS,我将立刻利用漏洞。
发现了就被盗号了( 而且你这个没我的nb
#3 cmd1152 被盗号我就盗别人的号
另外注意论坛贴子可能有误报
我就问问能不能在 meta 设一个 CSP
#6 Googol 笑死,csp对于非src加载无效
另外我测试了,好像目前的 xss 都没法利用了
#8 Googol 你利用就是辜负苍生祸害人间
#9 cmd1152 22c 也是
#10 Googol 你也就只会怪那个不存在的22c了
目前已知误报组件: [[module Comment]]
#12 Googol 你看看我那个会不会误报
#13 cmd1152
{ "safe": true, "warn": "这是静态分析,可能仍然存在潜在的注入" }
#14 Googol 你看,没误报
另外我那个 tabview 也有误报。
tabview
最近,进行了更新:
该方法通过查看wikidot源码判断,请使用 GitHub 获取最新版本
示例: SELECTED SITE: WRITE ON DRAFT PAPER
基本上有tab的都会出现蓝色:
最近 wikidot 有没有没挖出的xss(0day)
#20 Googol 无可奉告,要是没有我还写这个检测工具干什么