某微信oauth2.0的广泛使用的互动工具储存型XSS下载

如题，互动吧大家应该都知道……感觉用的非常广…有一天朋友圈李发来一个投票………然后coòkie就被拿走了……………

目前互动吧登录方式有
微博登录
微信登录
QQ登录
互动吧账户登录

用户数量至少7位数？基本都是第三方
送两记储存型xss



首先，之前标题处未过滤，然后喜闻乐见地打到了管理员

接下来是投票选项的一记mxss，可以结合社工在朋友圈里扩散

然后加入盗cookie的exp

先是这样，然后投票之后触发

顺利收到cookie，可登录

 

修复方案：

过滤一下