昨晚带队测试完PPTV.睡前准备使用PPTV看会电影.登陆了我的2020年到期的PPTV会员帐号.

发现有意见反馈.

过段敲人一段跨站代码.ipad打字真费劲.校验了好几次.确认无误后发送.

今天起床后就发现收获了后台一枚

?source=ipad

免登陆.可直接访问..cookies都不用了.

判断是后台的用户反馈页.

没有做近一步的渗透.


漏洞证明:

?source=ipad

用IPAD盲打PPTV后台


用IPAD盲打PPTV后台



用IPAD盲打PPTV后台