行业测评系统（测试客户在线商城系统）

行业测评系统（测试客户在线商城系统）只不过它的上传不是一般的上传，而是用的base64加密后上传。果断放弃，转到用户名昵称和签名处。可自行修改的话那岂不是有了xss产生的可能性？这类电商网站测试一般都是支付接口测试，支付逻辑测试，收货地址有没有xss之类的。围绕着用户的模块进行测试。进去以后发现有个修改信息，这里如果有修改头像，那么上传漏洞可是进行尝试。

前言

这个客户呢是拼多多引流到WAP端进行下单优惠购买的模式，权重这些对于他来说并没有任何作用。这次突然头条私信我让我帮忙看看，本着有忙必帮的初心，让他把域名给我了，界面如下。

这是PC端，我就不截图WAP端了。个人比较爱好渗透测试，每一次的挖掘过程，都是一次未知的旅行。这里要测试首先得注册一个账户 test01/test01。

这类电商网站测试一般都是支付接口测试，支付逻辑测试，收货地址有没有xss之类的。围绕着用户的模块进行测试。

进去以后发现有个修改信息，这里如果有修改头像，那么上传漏洞可是进行尝试。

只不过它的上传不是一般的上传，而是用的base64加密后上传。果断放弃，转到用户名昵称和签名处。可自行修改的话那岂不是有了xss产生的可能性？

先用弹框的试试水。

那这里就可以做文章了，思路如下，找到留言板，或者购买个小商品。等管理员查看留言会显示提交留言的用户名或者订单购买的用户名，即可触发。

不过更巧的是，留言板虽然没有，但是有个发消息的模块。

填上admin，内容为恶意代码，直接发送。

嗝儿，一处漏洞找到了。其实第二处还有个更暴力的。有了xss之后成功得知管理员登录地址为/admin_0gh53k/

登录只有用户名和密码，无任何验证。并且，你输入错误的用户名还会提示不存在！开发者真的好贴心。

一手burp成功搞定。

给客户说的时候，也挺开心的，帮他们修好了xss，增加了验证码功能。别问我为何这么热心，我是雷锋的粉丝！

制作不易，点个赞再走吧！