渗透测试中我见过的一些烂网站

今天，复测运营商的内部项目，局域网内的网站，用于管理分公司的信息和调度，上周复测，发现有xss;这周复测发现还是存在。

我们来说网站写的有多烂：

　　1.插入数据时，没有在服务端检查数据的唯一性，可以重复进行插入同一条数据。

　　2.删除数据时，点击一个重复数据，进行删除，发现所有的重复数据都看不到了。

　　3.但在其他调用本数据的模块中发现重复数据还是存在的，原因是什么？为什么本数据模块查询不到了？

　　4.对方反馈信息说xss修复了，但只是我写出的少部分链接修复了，这说明开发处理xss字符肯定不是调用的一个模块，很有可能是每个输入框都单独写了代码。

　　5.有一个模块的xss修复了，虽然不能插入带有js代码的数据，但之前插入的xss数据，还在一直弹框，而且，我尝试删除这条数据，提示我非法数据，说明开发删除功能上传了xss数据，而不是根据ID删除，这很傻，

　　怪不得网站这么卡。