公司：北京某某教育科技有限公司#CTL{\n}#CTL{\n}奇安信搜索：icp.name="北京某某教育科技有限公司"#CTL{\n}#CTL{\n}补天不收录上传型XSS漏洞，但是感觉有些必要，当做学习思路，也一起发布出来了，同时支付逻辑漏洞，已经通过，记一次高危，比较简单！！268元的永久会员，使用50元，就可以购买成功！#CTL{\n}#CTL{\n}#

鹰图搜索：web.body=”img/XXXXXX.gif”漏洞一首先，我先测试账号密码问题，填写账号1和密码1，会显示用户名不存在，这里又没有验证码之类的效验，所以这里完全可以用字典尝试进行爆破用户名和密码看看我测试出来admin是用户名，然后试了弱密码，还是没有登录成功我看了下提交的接口，是2个参数接着我继续搜索了下接口地址，往下看js代码的时候，发现还有一个接口doAutoLogi