XSS无回显
XSS无回显比较特殊,一般XSS漏洞的判断标准为弹框,但是有这样一种情况,在一个表单提交处,内容提交之后只会在页面显示提交成功与否,不会输出提交的内容,那么我们也就无法通过弹框来判断XSS漏洞存在与否。这时候就需要通过XSS盲打来进行攻击。
src 属性规定外部脚本文件的 URL。
<img src=http://xss.t7y3wc.dnslog.cn>
所以我们可以利用dnslog来进行验证,如果他是会解析参数,那么上面传入的参数是我们的地址域名就会在相应的地方留下记录