WooYun.org

主播简介是个kindeditor,尝试插入代码

提交:

发现转移成html实体。
果断直接调用接口发送原始数据看看:

yp.ajax('/u/anchor/save_setting', {data: { announce:"<script>alert('fob')</script>"}, type: 'post', dataType: 'json'})

提示成功，似乎没错误。
来看下结果。

严重了！！！
那就可以乱搞了。

附送一个蠕虫思路(不敢实践，怕被打PP):
一些基本功能接口:
www.zhanqi.tv/touch/get_login_info 获取用户的信息，包含真实的用户名，
邮箱，手机，注册时间，登录IP等。
http://www.zhanqi.tv/profile/brief/update 简介更新接口。
http://www.zhanqi.tv/u/anchor/save_setting 直播间设置保存接口。
http://www.zhanqi.tv/profile/live_cover/save 背景图保存接口。
http://www.zhanqi.tv/u/message/send?to= 发私信接口。
……………………
获取直播码的接口就不说了。
蠕虫功能：
1.通过get_login_info获取用户的信息。
并且获取cookie。
通过私信发送给坏人账户。
2.
http://www.zhanqi.tv/profile/brief/update 简介更新接口。
http://www.zhanqi.tv/u/anchor/save_setting 直播间设置保存接口。
http://www.zhanqi.tv/profile/live_cover/save 背景图保存接口。
提交我们的恶意xss代码。这样就达到蠕虫传播的目的。
3.提交了我们恶意的代码之后，似乎就没啥利用价值了，那就可以执行后台搜索，群发私信等功能消耗服务器资源。