WooYun.org

1、越权为任意用户发说说～
2、越权删除任意用户说说的评论或回复（测试发现不能删除其他用户的说说，唉..）。
3、2个反射xss
1、越权为任意用户发说说
在发说说时，篡改用户id就可以了，简单吧，好玩吧～
来，我们还是找那个代课老师吧，看下图：

好，看到5月22号凌晨2点多发的说说，为不让鹏老师产生恐慌，咋们还是照发这条说说吧。
用我的帐号登录，发说说，截断，篡改用户id，如下图：

其中speak_notice值的内容就是说说的内容。
放过该请求后提示发说说成功，又来到代课老师的页面，呀，真的发出去了，嘎嘎..

再来一发，额。。

唉，不能越权删说说，不好玩～
2、越权删除任意用户说说的评论或回复
同样的方法，在删除评论或回复时，篡改回复id（cid）就可以删除其他说说里的回复了。

这里就不演示了，你们自己试试就知道了。
3、反射型xss
1）注册成功后，会有个提示，
对应/reg/regsuccess.php文件，参数username可嵌入脚本并执行，验证链接：
http://jj.cn/reg/regsuccess.php?siteid=0&nickName=&username=aaaa"><iframe src=javascript:alert(/xss/)>&cardType=&promoterid=0
看下图：

2）在club里搜索时keywords参数可嵌入脚本并执行，验证链接：
http://club.jj.cn/commune_join/join.php?keywords=aaa"><script>alert(/xss/)</script>&act=search
看下图：

另外，为啥把密码加个密放在cookie里呢，不建议这么做。