一号店网站联盟未做任何过滤致存储型XSS产生

1.是这个站点啦！1号点网站联盟，貌似很牛B的样子 http://union.yihaodian测试数据

2.在填写基本信息这里可以插入任何特殊字符，不过客户端还是有一定的判断的，看图啦！

3.但是一切客户端的过滤都是纸老虎啦！

4.将上面post的参数值给改掉啦： user.email=<script>alert(1)</script>&user.name=<script>alert(1)</script>&user.identityCard=<script>alert(2)</script>&user.mobile=<script>alert(3)</script>&user.phone=<script>alert(4)</script>&user.siteURl=<script>alert(5)</script>&user.siteName=<script>alert(6)</script>&user.trackerU=102826697&user.siteType=1 5.查看返回信息，就截四个图吧：

   

修复方案： 这个地方XSS似乎是有实际用途的吧，比如盲打管理员什么的！

查看更多关于一号店网站联盟未做任何过滤致存储型XSS产生的详细内容...