openlab的头像可以任意文件上传?
http://www.openlab.net.cn/account/getavatar.ashx?userid=92082&size=64
<script>alert("xss")</script>保存为png上传,路径爆出来了。
。
。
http://www.openlab.net.cn/account/getavatar.ashx?userid=92082&size=64
<script>alert("xss")</script>保存为png上传,路径爆出来了。