刚在渗透测试时又踩了个XSS坑，真是服了 本来以为前端过滤够用了，结果后台还是能插脚本…后来翻到个叫XSS Hunter的小工具，直接把payload发到它那，就能实时看到谁触发了！贼方便！之前老是靠自己手动试，现在一跑就出结果，省了好多时间…而且它还能记录来源IP、浏览器啥的，简直像开了外挂一样 说真的，这种小工具真香！