WooYun.org

话说，我上次为了拿个乌云帐号，发了多玩个服务器认证上的漏洞，悲催的官方一直木有修复！貌似他们认为他们的协议坚不可摧，利用困难！
不说鸟，哥并不是跟多玩有仇，真实是他们家的一个普通用户中一个不安份的用户！
下面开始：
1、激活多玩微博，打开修改资料页面

说明：表单看起来很简单哦，暗藏玄机
2、直接看抓包，关注Post的字段

哥要说的是，多玩的程序员，Js写的真心不咋样，几乎每个js函数都有注释，而且有些函数漏洞百出，就比如说这里的表单吧，
nick 有前端验证+后端验证
sex 有前后验证
其他都有一些前端验证，但是木有后端验证，比如说省份、地址、生日等
其实生日在后端的验证就是类型强转！
假如我们不玩XXS ，这里照样可以地址提交为 火星 来装个比！生日搞个 3000年！
3：我们分析下多玩微博首页

看到咯，首页上有些啥呢~~想必不用我说，大家也知道呢！
关键就出在photo_url这个字段上。说实话，我根本懒得分析它是干啥的，我只要XXS
4：接下来，IE9闪亮登场，哥非常中意IE9的开发者工具，用来调试js那叫一个方便啊，

某些输出是用jQuery.text 函数了，这无懈可击，有些呢是直接取出放变量了。
我们关注的是photo_url，其实俺对XXS不甚精通，本人也不是搞web开发的，混迹久了多少知道点，
所以我首先搞了这么一句：xxs"!=(function(){alert("xxs");return "xxs";})() && "
本来期望 if(photo_url && )这句能顺利执行，但是哥也不知道为啥 直接if("xxs"!=(function(){alert("xxs");return "xxs";})() && "")是可以的，但是将这句xxs放到photo_url字段里在if(photo)就不行鸟~~
既然这样不行，就另找方法，继续往下看，好个乖乖~~
敢构造img的src ，那哥就不客气了，果断跟进 getPhotoUrl函数看个究竟
5：getPhotoUrl函数作者，你们老板喊你去喝茶！

很好，那就不要客气了，直接构造语句吧;xxs" onerror="javascript:alert(0);void(0);"."
6:接下来，成功鸟~~成功的xxs

激情过后，第一时间来提交漏洞，哥是文明人，不会搞蠕虫，也不会搞别的！
有心了就送个礼物，但是别送YY熊了，你们已经送过我一个熊了！