WooYun.org

1.我们先来看下xss点
登录用户admin42@126.com打开国际机票一栏，点击提交，打开如图窗口，在”您的称呼”输入
xss poc：
abc" onerror="alert(document.cookie)
这里做了<>过滤，html编码过滤，但是引号没有过滤哦

2.点击提交。注销用户，用用户xss@126.com身份登录，打开刚才admin42@126.com用户提交帖子的地方

观察输出，成功

第一个xss到此结束。这个危害不大，因为长度的限制，本人无法createElement javascript,从而嵌入xss hook地址。
下面我们看一个可以插入xss hook地址的点，其实这个点之前有人爆过直接burp改包还原url编码，可以绕过（http://wooyun.org/bugs/wooyun-2010-099073），估计管理员之后加了恶意关键字黑名单。但明显还是有其他弱点的，可以用别的方法绕过。如下：
1.先用xss这个名字用户登录，找到写日志的地方，随便写一篇无危害的日志，然后再编辑，点击右数第二个按钮，启用html编辑

这里大家看到了，为了逃逸服务端对script onerror等字符的过滤，采用了换行绕过
效果，成功构造：

然后，我们注销当前用户，登录admin42用户，查看xss写的日志（或者狂加好友，偷取他人cooki）。最终成功偷取他人cookie：

夜太深，就不钓管理员cookie了，估计管理员也不登陆。明天还要搬砖，早点睡
http://diy.yiqifei.com/00111325.html