骑士CMS存储型XSS（攻击管理员）

### 简要描述： 写给审核:今天您说已多次提交所以忽略的BUG我解释下，我很久前提交过一次这个BUG，其次您说乌云不提倡脱数据，数据我都已删除了，我不是那种不明法律轻重的人，这个您放心，敬请原谅！ps:提交漏洞比挖掘漏洞用的时间还要多，我是对厂商负责的好少年 ---------------------------------------------------------------------------------------------------------------------------------------------- 以上与厂商无关，说的另外的事 ---------------------------------------------------------------------------------------------------------------------------------------------- 问题描述：骑士cms存储型xss管理员后台审核触发！ ### 详细说明： #前言 问题真实存在，测试地址自己搭建的，有点卡，国外代理访问会好点。地址：http://wooyun.eu5.orghttps://images.seebug.org/upload/ #1 http://wooyun.eu5.orghttps://images.seebug.org/upload/link/add_link.php申请友情链接，地址填入javascript:alert(1) [<img src="https://images.seebug.org/upload/201408/15210417fa8e6826aa71e3094672e76f2074191a.jpg" alt="360截图20140815205348406.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/15210417fa8e6826aa71e3094672e76f2074191a.jpg) #2 http://wooyun.eu5.orghttps://images.seebug.org/upload/admin/admin_login.php后台帐号xty密码xty 管理员在 后台-广告-友情链接 审核 [<img src="https://images.seebug.org/upload/201408/15205730f136c267419a9d551ddff7b8ad2fa721.jpg" alt="360截图20140815205737593.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/15205730f136c267419a9d551ddff7b8ad2fa721.jpg) 恶意代码被过滤 #3 利用实体编码绕过，申请友情链接地址填写： javasc&NewLine;ript&colon;al&NewLine;ert(doc&NewLine;ument.coo&NewLine;kie) #4 管理员审核点击触发 [<img src="https://images.seebug.org/upload/201408/152100152e1b7ca2ba0015314d12497ceec3e30a.jpg" alt="360截图20140815210059015.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/152100152e1b7ca2ba0015314d12497ceec3e30a.jpg) ### 漏洞证明： 直接发往后台管理员，比较容易利用！ [<img src="https://images.seebug.org/upload/201408/152100517e5d8a9437dfb09232db031bbfb09894.jpg" alt="360截图20140815210059015.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/152100517e5d8a9437dfb09232db031bbfb09894.jpg)