WooYun.org

其实我也不知道标题对不对，但我觉得这个还是有一定危害程度和利用价值的，具体的利用方法我也不太清楚，我本来是要Xss音悦台的，结果发现XSS无果，然后有了下文
如图：

去平台看了，xss代码并没起作用。
过了一会儿，我弄别的回来，再看平台的时候，竟然X出东西来了，一看，来源是m.so.com的，
地址为：
http://m.so.com/index.php?a=transcode&m=b6fd8a40b712b8a76468f304f577dd56dd1dd3dc&u=http://www.yinyuetai.com/fanclub/22594&q=exo&pn=1
查看源代码后发现，xss竟然没有被转义，直接运行了！

我后来用自己的手机和电脑都试验了，发现百度转码好像并没出问题，只有360的转码存在这个缺陷。

从上图的浏览器（这个Xss是原始用户，也就是我一开始说的第一个被X到的）可以看出，这个用户应该是在使用360手机浏览器后访问了我X到的网站，由于360的解码，导致了原本失效的Xss代码经过360的解码重新生成，变成了原来具有攻击性的Xss代码。