成功了一次

那个web页面中的编码真蛋疼，今天看了一个分响不错，测试后是成功的，天极网，现在还存在xss漏洞，本来他自身就存在漏洞，但是因为浏览器存在xss过滤器，所以我们无法成功攻入，但是老毛说过 特殊情况特殊分析，

?document.forms[0].pageNo.value = num2;?document.forms[0].submit();?

我们要先发现输入点和输出点，才能准确的找到如何进行入侵，在查看源码中找到你的输出点后，发现有一段是存在于JavaScript代码中的，其他的不太好滤过过滤器，

我们构造如下的url请求，

http://search.yesky.com/searchproduct.do?wd=%0a%0d}alert(document.cookie);{'

js还是比较严格的，最后不家那个‘和后面的’闭合无法执行alert的函数，如此成功弹出了本地的cookie

?

?

?

?

?

?

?

?

?

?