[TOC]

注意:本文分享给安全从业人员,网站开发人员和运维人员在日常工作中使用和防范恶意攻击,请勿恶意使用下面描述技术进行非法操作。

0x00 快速入门

描述:动易cms 专注于为客户提供各类网站(群)的平台支撑软件及平台建设和维护服务。
产品应用于高校、中小学、幼儿园、公安、政府、医院、大型企业等领域,致力于为客户提供完善的云平台服务。
官方网站:http://powereasy.net/

0x01 漏洞详细

1.存储型XSS漏洞

描述:用户登录之后来到用户的短消息验证处,利用用户1和用户2之间来相互发送短消息的界面;

<img src="xx.jpg"onerror="alert(document.cookie)"

参考来源:http://www.anquan.us/static/bugs/wooyun-2014-054651.html