编辑档案可提交XSS 未过滤学校名称 专业和描述等字段
别人查看你的个人主页时显示也未做过滤
同时cookie中存的DJ_RF和DJ_RF2地址可直接登录大街网
可盗取cookie直接登录
?auth_str=值&url=http%253A%252F%252F%252Fcard%252Fmaybeknow%253Ftrk%253Dforward
修复方案:
过滤。。。。。。。cookie中有木有必要存这么个值。。。
作者aomm
,www.xuhantao.com,涛涛电脑知识网