苏州同程网好几处问题
详细说明：反射型XSS
http://waptest.17u.cn/pub/weather/WeatherCity.aspx?FPY=D%3C/span%3E%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E%3Cspan%3E&ModelName=Weather
 
 
 
 
一处目录遍历
 
 
 
 
 
用户更换绑定手机以后，登陆使用原手机和新手机都登陆同一个账户，不同步
 
 
 







 
 
 
 
Wap网站用户昵称没有过滤代码
 
 
 
修改为<!— 后，进入主站
 
 
 




 

 
 
网页代码被注释掉了！主站这些字符都被禁止了，但是wap站没有，主站和wap站，数据又要同步，然后问题产生了！ www.2cto.com
 
找回密码处没有时间限制，也没有验证码，不断刷新提交造成短信轰炸效果
 

修复方案：

一个慢慢修复！

作者 koohik