看杀气兄在FeedBack中玩的那么开心，自己也来杀一杀~~~
杀了一堆意见反馈，终于打了个酷6的留言本~~~~~~~~~
 
忘记删除自己测试的弹框框了，貌似已经被发现鸟~赶快发乌云~~~嘻嘻.....
详细说明：XSS地址：http://fb.ku6.com/page/submitfb.html
 
后台中对用户输入的问题详情、漏洞页面没有过滤~
 
再加上留言本管理后台对外，所以凭借着cookies杀了进去~~
 
 
 
 
 
向杀气兄学习~~
居然不让妹子下班，18点了还被跨，人性化啊亲~~~
 
 
 
 
我的XSS问题
 
 
 
 
有控制留言本的权限，给自己回应了下~看名字还是妹子~
 
 



 
修复方案：

虽然只是一个留言本的管理系统，也很重要地~后台不对外网开放啊亲~
试想一下，假如我回复一些XXXXXXX的话给用户，用户会有什么想法？
 
------
净化输入~过滤输出~
管理后台不对外网开放