我正在尝试在朋友的网站上发现安全问题。 有一个用于订阅的输入框。我可以输入我的电子邮件地址:
Henry<IMG SRC=# onmouseover="alert('xxs')">@gmail.com
尝试不同的方法后,我发现> < "被拒绝了。
但是它接受' $ / # +
如果我的邮件为
亨利'或$/人# @ gmail.com
服务器接受请求。
并显示为
You are successfully subscribed
这意味着我的电子邮件已存储到数据库中。因此,只有管理员可以查看它。
盲XSS有什么可能? 还是其他任何漏洞? 还是盲注?