58校园招聘简历处全部输入处存在存储型XSS--仅IE下有效

chrome不知道为啥过滤的,其他浏览器未做测试

盲打什么的我就不测试了,我懒得等你们的人力资源

首先是XSS

58校园招聘简历处存储型XSS+任意遍历修改任何人简历




58校园招聘简历处存储型XSS+任意遍历修改任何人简历



 

漏洞证明地址

?p_resumeId=7178&p_userId=7179

然后 在地址栏修改

?p_resumeId=这里的编号&p_userId=这里的编号

两个编号要一样

就可以查看并修改别人的简历


58校园招聘简历处存储型XSS+任意遍历修改任何人简历

修复方案:


整个校园简历填写全是bug,是应届毕业生写的吧,叫写代码的程序员反思去...

手机号码处连判断输入的是不是数字都不判断...