人人网继短信XSS漏洞后在爆应用漏洞，利用这个漏洞，攻击者可以向人人“好友真相”应用的真相页面随意注入任何长度代码，而且还可以诱导用户点击，危害甚猛。 这个漏洞利用“好友真相”获取用户显示名的时候通过读取页面元素，然后发送AJAX请求的过程，通过改变元素的value值，将姓名替换为被注入代码。由于插件不过滤HTML，注入后被攻击用户在浏览自己的&l... [阅读全文]