** 第一步:判读是否有注入漏洞 ** ** 第二步:尝试利用该漏洞 ** 经过Burp查看后,除了跳转并无其他变化,只能看下源码 不能script代码,转变方向,使用表单中的事件来调用alert() 构成 <input name=keyword value='1987’οnmοuseοver=‘alert(Yes)’> 输入Payload为: 1987' oninput=alert(Yes)