Mao10CMS V3.2.0存储型XSS

### 简要描述： 冒泡 ### 详细说明： 在index.php?m=user&c=index&a=edit&id=2中 修改个人信息，在修改的时候截包 将头像路径的值改成一段xss代码 [<img src="https://images.seebug.org/upload/201503/12113305c55d8c5d06807676fdd6658b8948fba1.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/12113305c55d8c5d06807676fdd6658b8948fba1.png) 然后提交，看到入库的时候双引号转义了 [<img src="https://images.seebug.org/upload/201503/121134170acf08388b242324138b35692a918ee1.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/121134170acf08388b242324138b35692a918ee1.png) 来到数据库看看 [<img src="https://images.seebug.org/upload/201503/12113445746d89d5db3064ef84f2a8b9dc2de743.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/12113445746d89d5db3064ef84f2a8b9dc2de743.png) 所以呢，如果出库的时候没有任何防御的话，就造成一个xss攻击 更新完之后来到我的主页，弹框了，看看现在的view-source: [<img src="https://images.seebug.org/upload/201503/121137418d6a6612afd5146006738b719843197f.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/121137418d6a6612afd5146006738b719843197f.png) 恩，成功了，这个输出点是没任何限制的，想怎么写就怎么写。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201503/121137418d6a6612afd5146006738b719843197f.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/121137418d6a6612afd5146006738b719843197f.png)