BUU [GWCTF 2019]mypassword 开题，是个登录界面，也有注册功能 首先我们注册个号看看。然后登录 提示不是SQL注入 有反馈界面，反馈应该管理员会看，可能存在XSS。 查看源码，注释给出了后端源码，对XSS进行了过滤，那就是XSS漏洞了。 根据源码，waf工作原理是把匹配到的危险字符串替换为空，这里看似用来while，可以防止双写等绕过手法，但是存

首先从登陆界面看到了提示 发现了一串js代码，这段话是什么意思很easy了 if (document.cookie && document.cookie != '') {var cookies = document.cookie.split('; ');var cookie = {};for (var i = 0; i < cookies.length; i++) {var arr = coo