WooYun.org

lz 给力。。。为毛每次我提交的xss基本上都未审核，感觉xss不打个后台，不搞个蠕虫，都没人要了。。。

忽略了- -

如果只是一个弹窗.而无其他利用的话..只是影响用户体验吧。。。。。。。。。。。。？求科普

@瓜瓜 这个是self xss，只能x自己。ajax post数据回服务器之后，本地js直接用输入框里面的东西来更新本地的div里面的代码。如果刷新的话就不会弹。所以这个连弹alert都不是

@xsjswt 这个东西能利用的话又是个通用型的了，绝对牛b了，不过可以社工利用

@小胖胖要减肥 社工也有点难度。有点影响，不过既然发在乌云了，忽略还是不太应该，勉勉强强也算个小问题，给1 rank都好。

@xsjswt 社工自己的朋友还是可以的，开个小玩笑，不过百度既然修复了给1个鼓励下嘛

@小胖胖要减肥 我也是这个意思。在乌云玩，就应该有点乌云的规矩。就算对安全没什么影响，确实是问题的，就给点rank，多少不是问题，问题在于对白帽子工作的肯定态度。

其实我希望作为一个白帽子，应该努力的，认真的去分析问题的根本原因，根本危害，而不是看到一个弹框之后就想当然的认为这是一个什么什么。如果你认为有危害，那么请告诉大家你们的想法，而不是只丢几张截图，其实危害自己从来没想过，人云亦云罢了：）

楼上几位大牛所言极是，最起码过滤不严这个问题是错在的，又怎么能完全忽略呢。。

@xsjswt @goderci @围剿 问题我觉得不是过滤，而是利用方式，比如一个新闻网站，没有登录的，就算都是反射型的xss又如何呢，2位大牛觉得呢，剑心一直提倡以数据位中心，攻击大多是逐利的，包括满足自己虚荣心

@小胖胖要减肥 球12306库

@xsjswt 我都没黑过站 一条裤子都没有

@xsjswt 给个qq？短消息

@小胖胖要减肥 你成功被我忽悠住了

@xfkxfk 估计是要影响大的。。。