第一处和第二第三处:用户中心---修改昵称
漏洞出在/hd/Hdcms/Member/Control/ProfileControl.class.php 15行~43行
editNickname函数和edit_message函数$_POST变量没有经过过滤 直接传入..导致XSS
editNickname这个点可以XSS到后台和主页
edit_message函数可以X到个人中心
第四处:文章--评论
/hd/Hdcms/Member/Control/ProfileControl.class.php 45~107行
$content变量没有经过过滤导致XSS漏洞 这个点可以XSS到主页和后台