漏洞细节 国美旗下多边金都:http://www.multigold.com.cn/ 下单时,多处都可以xss,如收货地址,发票抬头,订单备注,订单取消原因等。 最后订单备注成功打到管理员cookie。 成功登陆后台 参见:https://bugs.shuimugan.com/bug/view?bug_no=100385