先注册两个用户,用户的userid分别是5855480和5855481。

然后使用5855480这个用户登录,填写需要修改的目标用户5855481信息。

财富中国任意用户信息修改及存储型XSS

点击确定后,用burpsuite截断,修改userid为5855481,然后提交即可。其中邮箱也可以改,找回密码只需要用户名和邮箱,这样就可以重置用户密码了。但是在测试的时候用的是QQ邮箱,没有收到重置密码邮件,不知道是不是QQ邮箱的问题。


财富中国任意用户信息修改及存储型XSS


财富中国任意用户信息修改及存储型XSS

2. 存储型XSS

在“编辑加盟费用/条件”菜单中的基本投资金额/单店,加盟/代理商身份,商铺条件,商铺形象,运行管理和其他条件表格都可以XSS,没有字节数限制,应该可以盲打。

财富中国任意用户信息修改及存储型XSS

财富中国任意用户信息修改及存储型XSS


修复方案:

应该懂得吧