有意思的bug

1、 Xss攻击型的bug
　　Xss攻击即跨站脚步攻击，通过插入恶意脚本 ，实现对用户浏览器的控制。
　　Bug现象：新增物品时，物品名称输入一段JavaScript代码，在提交时此代码被执行。
如：输入<script> alert(“这是测试Xss攻击”)</script>，在提交时会弹出alert框。
如：搜索的时候输入<script> alert(“这是测试Xss攻击”)</script>，报404。
具体利用的话：
储存型XSS，一般是构造一个比如说"<script>alert("XSS")</script>"的JS的弹窗代码进行测试，看是否提交后在页面弹窗，这种储存型XSS是被写入到页面当中的，如果管理员不处理，那么将永久存在，这种XSS攻击者可以通过留言等提交方式，把恶意代码植入到服务器网站上， 一般用于盗取COOKIE获取管理员的信息和权限。

反射型XSS，一般是在浏览器的输入栏也就是urlget请求那里输入XSS代码，例如：127.0.0.1/admin.php?key="><script>alert("xss")</script>，也是弹窗JS代码。当攻击者发送一个带有XSS代码的url参数给受害者，那么受害者可能会使自己的cookie被盗取或者“弹框“，这种XSS一次性使用，危害比储存型要小很多。

dom型：常用于挖掘，是因为api代码审计不严所产生的，这种dom的XSS弹窗可利用和危害性并不是很大，大多用于钓鱼。比起存储型和反射型，DOM型并不常用。

2，自定义菜单统计列表把多个跳转链接的菜单排到了一列算一个响应，原因是数据库在记录跳转url的字段做了字符限制，所以都只记录到前半段相同部分

3,在编辑投票项页面，编辑标题名称和选项信息，输入法的输入框会闪现，无法输入中文
当在编辑标题名称和选项信息的文本框中增加，修改，删除等操作，每次光标都会跳到文本框内字符的最右边
最后发现是框架的问题导致的

4,打开修改信息 里面的二维码 ，然后就不断的往服务器发送请求了，把log日记塞得满满的

5,时间插件，点击编辑再保存，时间插件提交的时间不对 F12看XHR 提交的时间和显示的不一样

6,修改自定义扩展关键词url后面的编码，可以越权去修改其他人的关键词信息(重点，越权的bug)

7，登录的url 使用没有身份态的去访问这个url ，链接有没重定向到登录页面