某OA办公系统储存型XSS第二发(demo演示)

简要描述： 涉及大量政府，医院，房产，电视台等网站 详细说明： 这个和 WooYun: 华天动力oa系统多处xss漏洞打包--专业盲打管理员2 这个洞很相似，但是绝对不一样哈，只是相似。。 问题属于过滤不严格，还是在在文档中心，随便点个进去，新建文件夹，名字插入xss代码，构造之前Mosuan大牛插入的代码试试先：alert/3/,保存后发现是没有弹窗的 应该是被过滤了，不怕，然后我们继续构造"/alert/3/再保存看看 可以看到成功弹窗 但是这个时候我们登陆的是普通用户，然后登陆管理员账号看看吧，成功弹窗 img...