### 简要描述:
第一弹: 会员中心 供应管理处xss
### 详细说明:
花了一天时间研究了下destoon的xss问题 好了见正文
1:信息管理处的供应管理点发布 在产品品牌处写入xss测试代码 然后发布
[<img src="https://images.seebug.org/upload/201403/08012226a6746b0cd5f6a7d1be4df8934988d2d2.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/08012226a6746b0cd5f6a7d1be4df8934988d2d2.jpg)
2:来到后台审核供应点
[<img src="https://images.seebug.org/upload/201403/08012215df01532a008f7875339686f81e8ffaa0.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/08012215df01532a008f7875339686f81e8ffaa0.jpg)
3:审核通过
[<img src="https://images.seebug.org/upload/201403/080122057328444781ed19acd1a2527a74696f5a.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/080122057328444781ed19acd1a2527a74696f5a.jpg)
4:来到供应列表点击修改 见下图,可见产品品牌处的xss代码已经触发
[<img src="https://images.seebug.org/upload/201403/08012155bcf196c73f4097de061a6d565b0af3c6.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/08012155bcf196c73f4097de061a6d565b0af3c6.jpg)
5:成功打到cookie
[<img src="https://images.seebug.org/upload/201403/08012144592beda7b755a0af1e485446b469c92f.jpg" alt="5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/08012144592beda7b755a0af1e485446b469c92f.jpg)
[<img src="https://images.seebug.org/upload/201403/1019170134779b5304664b0f6fba5e5df48aabc9.jpg" alt="QQ截图20140310191513.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/1019170134779b5304664b0f6fba5e5df48aabc9.jpg)
### 漏洞证明:
见上
京公网安备 11010502034610号
暂无评论