### 簡要描述：

php云人才系統多處Xss漏洞(繞過360)，可影響后臺及其他用戶。

360防護掛掉了，這該怎么辦。。

### 詳細說明：

雖然php云人才系統里加入360防注入腳本，對于一般的xss都可以過濾

但是我意外的發現了一種繞過方法，從而對多處產生xss影響

先說下繞過方法

至于這個%20加哪就隨意了，總之就是不要使句子完整出現，這樣可以繞過360，然后是數據提交后，會變回

可以利用的xss地方很多 凡是有編輯器，源碼模式下直接插入%20ript>就行

以官網demo為例子，除了上述地方可以插入xss代碼外，在http://www.hr135.com/friend

[](https://images.seebug.org/upload/201407/21181400da1e2209c95623f7cf80f0ea0c44c9de.png)

到個人中心看一下

[](https://images.seebug.org/upload/201407/21181418dd4418d0c5a88ea564875ee7a9015577.png)

成功插進去

也就是說當別人訪問自己的空間時，就可以盜取對方cookie

再說下一處Xss漏洞

舉例地址：http://www.hr135.com/ask/index.php

回答別人的問題

[](https://images.seebug.org/upload/201407/211854386ec52c576300dcc0d30294cbb93697e2.png)

[](https://images.seebug.org/upload/201407/21185451da96a91a8a790fde04bb9d9519d92734.png)

### 漏洞證明：

[](https://images.seebug.org/upload/201407/2118225584ad6392eb31f761815ec1ccac85cd64.png)

[](https://images.seebug.org/upload/201407/21182302cc93199c77a497f43b3fef9806d6d23b.png)

有了后臺的權限 自然。。。

總結

以上是生活随笔為你收集整理的xss绕过php,php云人才系统多处Xss漏洞（绕过360防护）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。