WooYun.org

百度的新产品七巧板项目，域名是http://tangram.baidu.com/。是一个JS基础库，提供一个可简单方便的实现各种扩展功能的JS库。这些并不重要。重要的是它提供了在线演示，直觉告诉我这肯定会有XSS漏洞，只是不知道会有多大权限而已，但是再不济也能获得一个baidu.com域名下的转向链接，绿勾的哦！
于是拿火狐LIVE HTTP跑了一下，结果很让我惊喜，第一个页面就得到了这个：

这个页面是一个POST异步返回的，换句话说，POST的结果其实是被原样输出了。为了验证这个，我稍微修改了一下：

咦，怎么是反的？唔……不过看起来并没有任何转义。把这个反过来的复制进来试试：

嗯，成功得到了一个IFRAME。虚惊一场，吓我一跳。
后面的事情就简单了，随便写想要实现的功能，POST过去就完事了。很方便，原样写，POST之后把显示的内容复制了就完事：

看看，BAIDUID和BDPASS都在哦，无论是发帖还是发百度知道还是干别的都很轻松哦！功能就不演示了，这里只说一下如何激活这个XSS。
首先它是一个POST类型的，所以我们也要在自己的服务器或者其它地方构建POST代码：
（这里演示用HTML和JS混合的，也可以用CURL）

<form name="xssform" method="post" action="http://tangram.baidu.com/?m=frontData&a=demoEdit"><input type="hidden" name="html" value=">tpircs/<)eikooc.tnemucod(trela>tpircs<" /></form><script type="text/javascript">window.onload=(function(){document.xssform.submit();});</script>

把以上代码放在任何可以访问的地方，然后访问它，你就会看到结果了：

嗯，更多破坏性试验我就不做深入了。XSS嘛大家都懂。