实际工作中测试出来的安全问题

1. 存储型XSS漏洞

   项目名称：xxx电子合同

   测试工具: fiddler

   测试步骤：填写后，提交后抓包，修改其中数据为<script>alert(1)</script>，保存到数据库，再次访问时，直接出现弹窗

2. 缺少后台数据较验漏洞

   项目名称：xx盾

   漏洞工具：手工***

   测试步骤：用户列表中存在用户状态，状态有冻结，解冻，注销，注销后的用户不能再使用，且其他状态设置按钮变为不可点击。通过修改前台html代码，将解冻变成可点击，点击解冻，用户状态又恢复正常可用。

   原因：缺少在后台对用户状态进行较验