1 cookies没有加httponly,这个的话大家肯定都知道,只是推起来比较难,但一旦问题严重性给开发演示,比如做点什么应该能够推动把

2 xss,在用户姓名处输出未过滤

赶集网的几个小安全问题


3 客户端(应该是所有客户端),http的get方式明文传输密码,危害不用说了,根本不用什么钓鱼了

看图吧

赶集网的几个小安全问题





4 赶集wap版暴力注册(主站是有控制的,验证码和次数限制),这个问题我们电商算很高危的漏洞了,淘宝也是,不知道你们怎么看

直接看图吧


 

赶集网的几个小安全问题


赶集网的几个小安全问题