WooYun.org

还是我以前发的那个吗？联系房东？

@Mosuan 不是

洞主，你用的是iphone还是android && 哪个版本的客户端

我靠。。。厂商回复简直还要学习口算。求口算帝把邮箱解开了

@泳少 base64

@xsjswt 应该都可以吧

@ling 下次发的时候麻烦说下是浏览器直接访问还是用的手机客户端。客户端没有“联系我”这个功能

@ling 就是那个，差不多，只不过他们的工程师死脑筋，只知道指哪修那

@Mosuan 没干过甲方就说甲方搓。你来你也修不完，xss满大街呢。你写个和赶集一样规模的站，然后不停的更新业务，你保证不出个xss我看看. @lake2 我觉得某些白帽子，真是站着说话不腰疼

@xsjswt 有新的漏洞，提交了3次不知道有木有礼物

@ling 发乌云的都没有礼物

@xsjswt 擦 --早说，马上再去找个

@ling 又有rank又有礼物，你想多了。给我们送漏洞的乌云，就算有礼物，也是给乌云，干嘛给白帽子。你这个又不是什么高危洞。那个洞甚至你可能没有验证清楚，那个洞甚至可能打的根本不是赶集。

@ling 早说了，你们这些“白帽子”什么时候听了，天天乌云大乌云小的在这里水来水去

@xsjswt 我之前发的那个洞，假如你有安全意识，你就会明白哪里还有这个功能

@Mosuan 我吃多了没事干天天测存储xss。我直接和你说吧，我们的xss一堆堆的（差不多每个厂商都是这样），随手抓到处都是，根本修不完。我们现在都只把精力放高危漏洞上。我们不像你们白帽子，天天吃多了没事干去挖xss。你们天天也无聊的刷两个xss刷rank装逼，有什么意义，一个sql注入就算是盲注，意义对我们厂商来说都顶得过十几个存储xss，顶得过几万个反射xss。然后天天来刷xss，还有那个ling，发的还是个self xss，就想球礼品，不知道现在的白帽子是什么心态。不明白厂商的情况，还要来说三道四。举个简单的例子，xsser在百度混了这么久，百度的xss解决了么疯狗在新浪混了这么久，新浪的xss解决了么两个业界元老大厂商都解决不了的问题，你跑来和我说我没有安全意识。我想说，就算你来，你一天挖了100个存储xss，业务一天能制造几千个存储xss，你找得再多又有个屁用。

@xsjswt @Mosuan 这人火气还真强大,就静静的看着你装B,又没得罪你，不到一两句就开始灰色式的耻辱人，说到XSS咱们又不是大神，来乌云学习丫的，也要给人骂一下，谁还敢学习了。大家是人，大家都是乌云，说话不要老是往火那边唧唧歪歪，哪里错你忽略就是咯，还有来往APP，那个，你是没看暴漫还是没幽默感？火气最暴躁的CS

@ling 好的，以后你的漏洞统统修复后忽略

@xsjswt 你是逗比吗？气急败坏的孩子

@xsjswt @Mosuan 娱乐娱乐

@xsjswt 我们httponly推上去了，不容易啊

@xsjswt 你是代表厂商的么？这算厂商的违规啊

@肉肉 哪违规了，你说说看，要打嘴炮么

@小胖胖要减肥 屌

@xsjswt http://www.wooyun.org/notice.php?action=view&id=20

@xsjswt 少侠果然好功力，地球上已经没有人技术比你好了。你可以在你的简历上写下：老子天下第一(贱)。我要是你领导，那么对不起明天自己滚蛋。公司的责任交给你不是让你来乌云装B的，有漏洞不处理你得瑟个啥？

@肉肉 乌云一直致力于维护定义好的规则，希望和大家一起做到“中立，公正，价值，尊重”你先看看，某些白帽子做到了么，乌云做到了么，如果你们都没做到，凭什么单单要求厂商要做到。尊重是相互的

好像图裂了。。。

@索马里的海贼 :“你说你们自己没能力去给开发培训 给业务做开发规范，那行啊，白帽子们在给你找漏洞 在帮你忙，你就这态度来这装大爷.” +1

@xsjswt 首先，白帽子免费帮厂商检测安全，凭什么你挑肥拣瘦？其次，漏洞能通过乌云审核，就说明乌云是认为其有一定的价值和危害的。你不喜欢xss？以后xss就别修补，直接全部忽略啊！ 搞得好像白帽子是你养的似的，非要给你进供高危漏洞才可以。拽什么拽啊，有本事就去申请退出乌云厂商啊，去你们自己的src好好玩，那里你们是老大，说啥就是啥么。

唉....................

@xsjswt 对于XSS 我不知道是你自己的价值观还是赶集网安全部门的价值观，我实在想不通一个以用户交流为中心的网站，xss的地位会这么低。我看了下你自己的漏洞也有不少XSS的，如果你自己觉得XSS没价值那你挖它干嘛？再说了 有没有价值是你说了算么？对于你xss挖不完的言论，我想说的是安全本来就没有绝对，如果挖不完就不挖了 那还干什么安全？还有 你说你一天挖100个 业务一天生产1000个。这是别人的问题吗？开发不懂安全你们懂，你们不给开发培训，不给业务开发规范，现在还怪业务写的代码问题多？业务自己能搞定安全问题要你们安全部门干嘛？开发要能自己麻溜儿过滤输入点 要你测毛线注入。对于你对白帽子的态度，你自己也是白帽子，你很清楚一个漏洞的发现（扫描行为除外）需要时间运气技术，不管技术高低时间长短，付出都在那里。白帽子替你收拾烂摊子你凭什么说三道四挑肥拣瘦？牛逼你就忽略别修，要修漏洞就乖乖当孙子。当X子还立个牌坊给谁看啊。别拿厂商难处说事儿，家家有本难念的经，缺人？缺设备？缺执行力？这是你们自家的事儿，你自家解决不好还怪白帽子，你都出来要饭了还怪饭不合口味？什么逻辑？对于你27楼回复@肉肉的，我只能说你是不是被迫害妄想症啊，谁都欺负你了是不 就你可怜是不，白帽子做错什么了？乌云做错什么了？你个人认为没价值的漏洞别人就得听你的了？尊重是相互的，如果那些言论代表的是赶集安全部门的脾气，那我没话说。如果是你个人的脾气，麻烦憋着点。瞅着眼睛疼。

@xsjswt 你自己还不是挖了小米xss还求礼物

@xsjswt WooYun: 小米某分站的XSS一枚 这个漏洞是你提交的小米的xss，然后简要描述位置是这样的，“简要描述：小米某分站对参数过滤不严，可以导致XSS。球小礼品”，这是赤裸裸的自己打自己脸的节奏么？

哎哟，看完评论我这暴脾气、我滴小心脏，

场面好火爆啊

@索马里的海贼 @px1624 +1024

圈圈个叉叉，赶集nb坏了

好高深的邮箱

这什么节奏

http://www.wooyun.org/notice.php?action=view&id=20

@肉肉 @xsser @疯狗 这人@xsjswt 也太嚣张了

应该再用MD5加密一下。

你们太激动了，我跟洞主被骂了都你们那么激动，对，我就是个天天挖个xss装逼的白帽子

@Mosuan 我看你基本都是sql啊

@px1624 看以前的，挖过两个赶集网的xss

@px1624 +10086

围观，后排兜售瓜子饮料

@xsjswt 如你所说 rank是乌云给的 wb是乌云给的 你一无所出为何还在这掂着脸对白帽子冷嘲热讽？厂商了不起？别人都是活该欠你的？一口一个你们白帽子 你们白帽子的 有脾气你就象px1624说的 退出你的普通白帽子账号，上你的厂商帐号申请退出乌云厂商去

我是来看评论的。。。。

邮箱还加密，有没有必要？

@xsjswt 真N啊，一个XSS，打到你后台，你不傻眼了

我也只是来看戏的。

@xsjswt 这位兄台,XSS是WEB类普遍存在的一种现象,如果你觉得,xss问题的存在没有意义！那么,只能说明你没有深入了解xss。不管是什么类型的漏洞,如果你能把它最大化,这就说明所存在漏洞危害的意义。像你质疑乌云上,xss问题现象。只不过有部分人,本着xss容易上手(简单的alert(弹窗);),或许,本着白帽定义 或想刷点rank, 把一些厂商存在简单弹窗的xss发布到乌云上。发布xss的白帽子,不一定只会弹窗,或只会弹窗。 你可以统计下,自2013年到现在乌云上都是那些厂商被白帽子发现存在xss。不喜欢xss的厂商,个人等都可以统计下。因为这些喜欢xss的白帽子,使手机APP厂商(91,腾讯)、邮箱平台、获得很大收益,到现在一些厂商主流业务XSS越来越少,这些足以证明XSS的危害性。 奉劝你,不会玩XSS就别出来乱叫。

@索马里的海贼 @px1624 +1024

一个字:狂。xsjswt 真不知道你们领导为什么会把你弄进去，你这么狂你们老板知道么？

确实吊

一切不以数据为目的的xss都是耍流氓