我司存在 XSS 、CSRF 、SQL 注入、固定 SESSIONID 漏洞
一个几千万用户的平台,「该有」的漏洞全都有......
虽然设置了 httponly ,脚本拿不到 cookie ,但是脚本确实能执行......
屎山都已经没法形容那些代码了......
上百万的代码(不少是 MBG 生成的),只有 100 多个 toString(),还基本都是我写的......
是不是该提桶跑路啊......