金蝶网多处安全漏洞大礼包(可获服务器权限)

简要描述： 对金蝶的一次失败的渗透，太晚了，睡觉了不玩了。 详细说明： 首先是几个小问题： 分站的列目录，能列出一些敏感数据。 http://kdeas.kingdee.com/easWebClient/deploy/client/ctrlhome/client/KDNoteConfig.xml http://kdeas.kingdee.com/easWebClient/deploy 小问题2：XSS漏洞。 金蝶官网的金蝶通行证，在对用户注册后填写的地址没有做过滤处理，导致XSS，可以X到cookies。 小问题3：金蝶用户中心密码找回缺陷。6位纯数字，没有做次数限制。...