后台存储型xss

[kevinoclam]

也是在文件管理，不过跟之前那位提的不一样，这个是文件名处的解析，不是文件内容（我试了下，文件内容的已经不能触发了，看了下已经转义了）

直接创建文件或者上传也行，文件名中带有xss的payload，如上图所示

点击修改，打开的新标签可以触发


可以看到触发位置是在标签栏里的文件名展示处

版本：

纯后台的话，危害不大，，我没在默认模板找到提供前台操作这个web文件管理系统的，不清楚原有设计是否包含这种情况，如果前台能操作到的话，还是有较高风险的

[JDragonZ]

这是来自QQ邮箱的假期自动回复邮件。   您好，我最近正在休假中，无法亲自回复您的邮件。我将在假期结束后，尽快给您回复。

[sanluan]

新版本已经修改