摘要： kppw2.5 CSRF漏洞复现 漏洞说明 收件人填目标用户名,标题随便,内容没有转义 ,所以提交内容处可能存在xss，不过过滤了敏感标签和 onerror onload等事件。虽然不能加载js代码，但是还是可以注入html代码，可以用xss漏洞注入html代码触发csrf 漏洞利用 收件人填写ad 阅读全文