Icefox's Blog

auther:u0d3s & h4dex

感谢        @evilcos     的这个例子程序

Fill the USER(default: admin)&PASS, and click "LOGIN".

如果是记住密码的情况下 很轻易的截获密码 也就是浏览器里保存的cookies数据！

比如 插入到图片 单击图片后
添加一个事件 (⊙o⊙)…。我随便用个 点击的事件吧 可以 弹窗 你的 id名为password 密码框的 密文！
普及来说为了各层次读者
你可以把通过 mail方法把 这个值发到你的邮箱 就和那些XX00??大牛那样 恭喜 你的XSS到了# 邮件！！
[code lang="" start="" highlight=""]
onclick="alert(document.getElementById('password').value)"
[/code]