真的专业黑客先做事后付款,是不收定金的

*前面那个安全问题提交快了，没看到还有这个，要不就合并一起提交了！*/
 使用这个页面直接饶过登录：http://tt.youku.com/admin/up.jsp 
 
当然是没有权限进行操作的，但可以通过修改USER这个参数，使任意用户ID登录（这也太弱了，是谁做的系统啊？发现一些大公司的内部系统都这样！）
 http://tt.youku.com/admin/main1.jsp?USER=admin 
  更不用说数据添加存储型XSS了！  
  
 不过系统好象好久没用了，不知道手机用户还能看到不？）
修复方案：
如果这样修改USER参数，都能形成反射型持久态XSS了（每次操作都能弹了！）（还有其他有意思的问题，如：把菜单项里屏蔽掉的url，添加到“资源名称”，就能正常访问了！）
http://tt.youku.com/admin/main1.jsp?USER=

(责任编辑：网络)