VULHUB ™

### 简要描述： 路过帮测，还是有若干持久性跨站漏洞。感觉整套系统的输出处理并不统一，有些地方经过HTML编码，有些地方却木有。 ### 详细说明： 在用户发起的投票处，在任务详情的“未完成理由”处、在个人账号信息处，在转化为任务等处，都可以触发跨站。 kdweibo.com ### 漏洞证明： [<img src="https://images.seebug.org/upload/201503/0216535468b54babf997b8c91e2ad12458c37d35.png" alt="云之家xss-1.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/0216535468b54babf997b8c91e2ad12458c37d35.png) [<img src="https://images.seebug.org/upload/201503/02165419cd32eadda1dd4c08b2b8c72370f06a1f.png" alt="云之家xss-2.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/02165419cd32eadda1dd4c08b2b8c72370f06a1f.png) [<img src="https://images.seebug.org/upload/201503/021654291cc74ca5769b785b8c5377708d822e56.png" alt="云之家xss-3.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/021654291cc74ca5769b785b8c5377708d822e56.png)

### 简要描述： 路过帮测，还是有若干持久性跨站漏洞。感觉整套系统的输出处理并不统一，有些地方经过HTML编码，有些地方却木有。 ### 详细说明： 在用户发起的投票处，在任务详情的“未完成理由”处、在个人账号信息处，在转化为任务等处，都可以触发跨站。 kdweibo.com ### 漏洞证明： [<img src="https://images.seebug.org/upload/201503/0216535468b54babf997b8c91e2ad12458c37d35.png" alt="云之家xss-1.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/0216535468b54babf997b8c91e2ad12458c37d35.png) [<img src="https://images.seebug.org/upload/201503/02165419cd32eadda1dd4c08b2b8c72370f06a1f.png" alt="云之家xss-2.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/02165419cd32eadda1dd4c08b2b8c72370f06a1f.png) [<img src="https://images.seebug.org/upload/201503/021654291cc74ca5769b785b8c5377708d822e56.png" alt="云之家xss-3.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/021654291cc74ca5769b785b8c5377708d822e56.png)