WooYun.org

测试地址http://bbs.home.163.com/bbs/chuishui/304014777,3.html#51
1 网易论坛很是坑爹啊，发帖什么的操作还有等级限制，没办法，所以用帖子回复那里给演示吧（回复和发帖用的都是一个编辑器）。
图1

2 在回复处，随便发些文字，设置下文字的css，这里我设置了文字的颜色和大小。
图2

3 输入验证码后回帖抓包，发现post数据中果然是存在style的。
图3

4 直接修改post数据，插入expression，post数据中的那个验证码可以通过5的方法获取。
图4

5 随便输入个啥内容，点击回复，就会刷出一个验证码。
图5

6 提交修改的数据后，用F12去看一下，果然么有过滤。
图6

7 用IE浏览器去看一下效果，嗯，弹cookie了。
图7

8 然后去插一下调用外部任意js文件的代码。由于网易用了jq（看源码搜索jq就可以知道），所以我直接用jq的函数去调用js。同4中的方法进行操作，完了用F12去页面看一下，嗯，没问题，成功插入了。
图8

9 换IE浏览器，用另一个小号去那个页面访问下。嗯，代码是被执行了，可以用这个xsser.me抓到的cookie证明。
图9

10 然后去一下网易微博，直接访问t.163.com，发现cookie是通用的，当然你也可以通过下图那里访问。
图10

11 所以利用就很简单了，在微博发个美女性感照片，然后把这个论坛的链接插上去，描述为“！@#￥%……&*”，大家懂的。。
也可以用来刷网易微博的粉丝，给比较火热的帖子发个回复，或者在比较火的论坛中发帖子，或者......
大家可以尽量意淫、。
虽然expression只有在IE7及以下版本执行，但是就目前中国来看，网吧用户都是IE6，所以危害还是蛮大的。