[原创]教育人博客XSS/CSRF漏洞

今天上英语课，老师居然让我们每隔2周写一次英文blog。我ft！最可恨的是，居然必须要求用教育人的博客。哎，记得去年第一次使用教育人的博客还觉得界面挺好看的，而专业的本能让我对它的安全性进行了一些测试。

真是不测试不要紧，一测试一身汗啊。。。

下面的这个链接是一个POC，感兴趣的朋友们可以先登录你的教育人博客，然后点击下面这个链接

我在这个POC里只是实现了添加我的这个测试用blog到你的友情链接。

嘿嘿，这让你想到了什么？

对，MySpace Samy Worm！

记得去年用教育人博客的时候，还是有一些脚本过滤功能的（虽然很弱），今天一用突然发现连过滤都省了。。。

sigh~