前言犹记某位师傅所说，有活动的地方就有可能出现漏洞，毕竟是新的业务点，本次漏洞也是与厂商搞的活动有关记实经过信息收集，发现其推出了众测活动，类似于0元试用，这无伤大雅，但其中的众测计划属实耐人寻味，因为我输入了<h1>加油</h1>以后，它返回给我的结果如下图所示这说明填写众测计划时，是可以执行html语句的，这里可以尝试的操作是构造钓鱼链接，比如<a href

漏洞分析网站系统为狮子鱼社区团购系统，漏洞文件为CK编辑器的image_upload.php，漏洞源码如下所示： $max_size) { // 判断文件大小是否大于500000字节 echo '{"result":"400","msg":"上传图片太大，最大支持：'.($max_size/1024).