无意在微博上看到这么一个网站，lietou.com，然后就。。。
详细说明：猎头网注册的时候会填入一些公司信息，比如：目前公司，目前职位等，这个地方不用盲打，注册时向这个地方写入xss代码后，一点都木有过滤。。。
 
 
 
 
 
 
 
不用说了，存储型的，插好xss代码，然后使劲浑身解数去粘目标就好啦。
下午好
 
 
 
 
兴高采烈的跑去登陆，结果发现这个提示
 
 
 
 
还有session在线检测？！
大胆的推测了一下这里可能有设计缺陷，因为我之前测试帐号发现session即使点击安全退出，虽然被注销了，但是根据你cookie里auth等信息又会取到新的session，我靠可以长期控制帐户的啊。但是！但是！！但是！！！这不是亮点，亮点是可以bypass掉同一session同时在线的检测！！！！！
 
回到刚刚的提示界面，选择“重新登陆”后在点击安全退出，然后马上利用劫持到的cookie再次登陆，bingo！
 
 
 
 
 
高潮过去了，准备结贴了，顺手取回下密码结果又来一发！！
 
 



 
修复方案：

累了，不想打字了，都写上面了