天涯高权限用户过滤不严导致漏洞及解决方法

话说昨天一不小心就发现了个天涯的xss 漏洞 ，下面说下是如何发现的，此文可以延伸到所有高权限用户过滤不严的 论坛 。

首先，我用[特殊的方法]搞到了一个版主的号，然后想看看wooyun说的任意编辑帖子可不可以，结果发现不可以，结果又发现了个问题，就是天涯的XSS漏洞

当然，你直接插入肯定是不成功的，但是，当你插入是会成功的，为什么呢，因为天涯程序猿没发工资，只过滤了小写。

虽然这个漏洞是[偶然]发现的，但是这个漏洞形成是由必然关系的。

虽然对普通用户的帖子内容进行了过滤，但未对具有高权限的用户进行过滤。

引用刚学的《出师表》：[不宜偏私，使内外异法也]

这个漏洞也是对高权限用户进行[偏私]所以导致的漏洞。

解决方法：对所有权限的用户实行过滤

摘自：www.safe121.com