凭借乌云漏洞报告平台的公开案例数据，我们足以管中窥豹，跨站脚本漏洞（Cross-site Script）仍是不少企业在业务安全风险排查和修复过程中需要对抗的“大敌”。

XSS可以粗分为反射型XSS和存储型XSS，当然再往下细分还有DOM XSS, mXSS（突变XSS）, UXSS(浏览器内的通用跨站脚本)。其中一部分解决方法较为简便，使用htmlspecialchars()对HTML特殊符号做转义过滤，经过转义的输入内容在输出时便无法再形成浏览器可以解析的HTML标签，也就不会形成XSS漏洞。

2012年，Blloberg在Facebook白帽子奖励计划的网站上发表了一片著名的文章，文章中提到：“如果Facebook出了价值百万美刀的漏洞,我们也愿意照单全付”。在本文开始之前，我想为骗点击量的文章标题向各位道个歉，不过Facebook之前放的豪言是我写这篇文章的重要背景。经过一番尝试和努力，我确实发现了一个价值百万美刀的Instagram漏洞，该漏洞可以用来获取Instagram的源代码，照片和SSL证书等。

Wiki一词来源于夏威夷语的“wee kee wee kee”, 是一种多人协作的写作工具。在大型互联网企业（如腾讯、360、小米）的业务线中笔者都有遇见过他们的身影，而其常被用作介绍业务功能的说明书以及内部项目工作协同平台。目前常见且使用率较高的WiKi程序有Miediawiki、DoKuWiKi、HDWiki等，但由于这些程序平时受到关注度不足，程序存在很多设计上面的缺陷并没有被公开和修复，很多甚至足以可以导致服务器被轻松getshell，使其成为互联网企业信息安全的一颗“隐形炸弹”。本文将着重介绍渗透第三方Wiki程序常用的思路，然后附上攻击两个被广泛使用WiKi系统的Expolit和实例危害证明，最后给出解决方案。

这段时间jsonp漏洞再一次证明了一个微小的漏洞，经过攻击者的巧妙而持久的利用，也会对企业和用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此，攻击者不仅可以轻松收集用户手机号，姓名等隐私信息，更可以借此攻入企业后台甚至是getshell。本文将通过一些公开和未公开的漏洞详细阐述此类漏洞。