社区存储型XSS发现过程：本次发现起源于我列表中一位好友的签名（alert(1)），他的签名引起了我的注意然后我发现在与别人聊天的页面处可以看到这个签名，审查元素时发现我们输入的个性签名在onclick事件中，并且此处是签名所以此处我们可控，如下图所示：点开右上角头像在关注的列表中也可以看到个性签名那么我们可以尝试在个人中心-编辑资料-个性签名处构造语句123’);alert(1)//，点击

漏洞名称：不安全的HTTP方法漏洞链接：https://hack.zkaq.cn/api/getCatalog漏洞简介：HTTP通常有GET、POST、DELETE、OPTIONS、PUT、TRACE六种，当然也有拓展的。我们将PUT、DELETE这种明显含有上传和删除文件权限的方法称作不安全的HTTP方法漏洞验证：抓包将POST方法改成OPTIONS方法，然后查看返回包中是否有PUT、DELE

漏洞类型：搜索型POST注入漏洞链接：https://hack.zkaq.cn/cases#注入点：lst=数据包：POST /api/getCatalog HTTP/1.1Host: hack.zkaq.cnUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0Acce