晚上查了查mail， 之前在淘宝买了东西。 现在淘宝给我发来邮件，说什么抽奖的。结果给我发现了两个bug！
其中一个Bug，可引发XSS 跨站脚本和钓鱼攻击

从邮件 链接到:

http://union.alipay.com/alipay/choujiang1/order.php

居然在这个页面出现一个这样的链接:

https://taobao.alipay.com/trade/query_trade_list.htm?sign_from=3000&nick=臭美小将军

不知道是故意还是怎么的。 这只是小问题，好戏还在后头呢！

淘宝XSS漏洞：

点击抽奖页面后，竟然发现淘宝用url 来传递html内容变量。和之前某银行的漏洞一样！

程序代码
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=[xss]

测试代码：
程序代码
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=%3cscript%3ealert(document.cookie)%3c%2fscript%3e

终于发现 测试人员的重要性了！ 这个页面估计没怎么测试过就放出来了。 估计如果这个漏洞被利用上，又死不少人了！