from:Kane’s Blog晚上查了查mail， 之前在淘宝买了东西。 现在淘宝给我发来邮件，说什么抽奖的。结果给我发现了两个bug！其中一个Bug，可引发 XSS 跨站脚本 和 钓鱼攻击从邮件 链接到:http://union.alipay.com/alipay/choujiang1/order.php居然在这个页面出现一个这样的链接:https://taobao.alipay.com/trade/query_trade_list.htm?sign_from=3000&nick=臭美小将军
　　装载中……不知道是故意还是怎么的。 这只是小问题，好戏还在后头呢！淘宝XSS漏洞：点击抽奖页面后，竟然发现 淘宝 用url 来传递 html内容变量。和之前某银行的漏洞一样！程序代码 程序代码http://union.alipay.com/alipay/choujiang1/ordernot
ice.php?info=*xss*
测试代码：程序代码 程序代码http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=终于发现 测试人员的重要性了！ 这个页面估计没怎么测试过就放出来了。 估计如果这个漏洞被利用上，又死不少人了