释锐教育区校版电子书包教学平台XSS漏洞

看到 http://www.2cto.com/Article/201409/334988.html 过了，我也来了
存储型xss

利用官方demo测试

http://demo.31390.com:8080/eLearning/user.html

随意点击一个用户

在留言处写入xss语句

释锐教育区校版电子书包教学平台XSS漏洞 – 网站插图

点击留言试试

直接就给弹了。。

释锐教育区校版电子书包教学平台XSS漏洞 – 网站插图1

看看源代码

毫无过滤

释锐教育区校版电子书包教学平台XSS漏洞 – 网站插图2

测试地址：http://demo.31390.com:8080/eLearning/message/s800.html

其实本身是html文件，给予xss很大空间

测试一下通用性

http://ssd3.31390.com/eLearning/user.html

释锐教育区校版电子书包教学平台XSS漏洞 – 网站插图3

http://jhxx.mhedu.sh.cn/eLearning/user.html

释锐教育区校版电子书包教学平台XSS漏洞 – 网站插图4

过滤等。。

本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了，原文地址《释锐教育区校版电子书包教学平台XSS漏洞 – 网站》