某充电桩小程序 XSS

前言

本次测试属于公益类型的 SRC

XSS

设置管理是查看功能,只能测越权,可惜有鉴权

添加站点中有一个上传图片

上传 XSS 图片,结果回显路径给咱自动添加了 .html 后缀

还有这好事?