Month: April 2019

请阅读“精选联盟”服务协议，除非您完全接受并同意本协议的全部内容，否则您无权使用本服务（未阅读和同意协议者，不支持获取佣金分成） “精选联盟”技术服务协议 本协议是您与北京空间变换科技有限公司（以下简称“公司”或“服务方”）之间就您使用“精选联盟”平台服务所订立的协议。您应遵守本协议及其它规范。就本协议项下涉及的某些服务项目，可能会由公司的关联公司、控制公司向您提供，您知晓并同意接受上述服务内容，即视为接受双方之间的相关权利义务关系亦受本协议约束。 为了更好地为您提供服务，请您仔细阅读本协议。在您开始使用本服务之前，请您务必认真阅读并充分理解本协议，特别是涉及免除或者限制责任的条款、权利许可和信息使用的条款、同意开通和使用特殊单项服务的条款、法律适用和争议解决条款等。其中，免除或者限制责任条款等重要内容将以加粗形式提示您注意，您应重点阅读。 如果您对本协议的条款有疑问的，请通过服务方客服渠道进行询问，服务方将向您解释条款内容。如果您不同意本协议的任意内容，或者无法准确理解服务方对条款的解释，请不要同意本协议或使用本协议项下的服务。否则，表示您已接受了以下所述的条款和条件，同意受本协议约束。届时您不应以未阅读本协议的内容或者未获得服务方对您问询的解答等理由，主张本协议无效，或要求撤销本协议。 1. 相关定义 1.1. ““精选联盟”平台”：是公司借助“精选联盟”向您展示您可以推广的相关的商品或服务。公司是提供网络信息存储空间的网络信息服务提供者（以下简称平台或精选联盟），服务方提供的技术支持以下简称“本服务”。 1.2. “推广人”：是指利用“精选联盟”平台服务，在可合法使用的推广空间内提供推广服务的自然人、法人或者其他组织，以下简称“您”。 1.3. “委托人”：是指符合“精选联盟”平台使用条件，推广商品及/或服务等的单位或个人，包括但不限于卖家等。 1.4. “推广空间”：是指推广人合法享有使用权的互联网信息发布空间，包括但不限于网页、界面和/或即时通讯等软件空间等。 1.5. “推广人的推广服务”：推广人利用精选联盟技术服务通过其推广空间为委托人提供的商品及/或店铺等进行推广服务。 1.6. “成功购买”：是指消费者通过推广人的推广服务于限定时间内与委托人达成商品交易，确认收货并支付给委托人费用且于法定期限内未产生退货的（以下又成“成交”）。 1.7. “平台规则”：指在平台上已经发布或将来可能发布的各种规范性文件，包括但不限于您使用本协议项下平台相关功能所应遵守的相应规则及其他细则、规范、政策、通知、公告等规范性文件。 1.8. “账户”：是指您完成注册后获取的与自设密码共同使用以登陆精选联盟平台商家管理系统，使用精选联盟平台服务的登陆账户。您应妥善保管店铺用户名及密码信息，不得擅自转让或授权他人使用，并对该账号下的一切行为独立承担责任。 您理解并同意，随着业务和技术的发展，精选联盟有权对上述定义的各种名词，包括但不限于“您”、“精选联盟平台”、“委托人”、“成功购买”“推广服务”等进行不时的修改和解释，并且公布在精选联盟平台上。如您继续使用精选联盟平台提供的服务即视为您同意该等内容变更，如您不同意对其的修改和解释，请您立即停止使用精选联盟平台所提供的全部服务。 2. 协议签约主体 2.1. 本协议由服务方与精选联盟服务平台用户签署。 2.2. 委托人、推广人将统称为“用户”，即“用户”项下的权利义务均适用于委托人、推广人；当只涉及其中一个主体时，将相应以委托人、推广人代表。 3. 协议的确认与接受 3.1. 您必须在注册流程中，点击“我已阅读并同意”按键，意味着您同意公司在【精选联盟】上公布的《精选联盟服务协议》（即“本协议”及其后续更新版本）全部条款。 3.2. 精选联盟平台有权对本协议内容或精选联盟平台发布的其他服务条款、规则、指引等内容随时更新，精选联盟平台将按照本协议规定的程序及方式发布公告。如您继续使用服务方提供的服务即视为您同意该等内容变更，如您不同意本协议或随时对其的修改，请您立即停止使用精选联盟平台所提供的全部服务。 4. 服务主要内容 精选联盟平台系支持为委托人提供推广服务的推广人推广自助交易管理系统软件，该系统软件所具备的功能，包括推广信息搜索、推广代码生成、推广代码和委托人商品信息的匹配，支持推广人默认或选择全部或部分推广信息以定向方式进行推广，网络消费者行为记录、成交和结算数据统计等（软件功能随时可能因服务方的单方判断而被增加或修改，或因定期、不定期的维护而暂缓提供，用户将会得到相应的变更通知）。 5. 声明与保证 5.1 委托人承诺并保证： （1）按照本协议、平台规则约定及法律、法规之规定使用本服务，按约定向推广人支付推广费（又称“佣金”），不适用任何手段规避或引导消费者规避佣金的支付，佣金结算以委托人在自行设置为准。 （2）遵守商品信息所在网站的规定及规则，诚信经营，保证对其商品享有合法的权利，商品非为假冒或伪劣商品，亦不存在侵犯他人合法权利之情形。委托人并保证其全部商品出售信息内容真实、准确、合法、及时、完整，无虚假或夸大描述等。委托人在此授权推广人为促成委托人参加推广之商品及/或店铺成交之目的使用、编辑其全部或部分商品信息，包括但不限于标题、图片、详情介绍等； （3）为保障推广效果，不随意更改已设定的推广费比率（简称“佣金比率”或“佣金比例”）； 5.2 推广人承诺并保证： （1）是具有完全民事行为能力的自然人，或者是具有合法经营资格的实体组织； （2）拥有合法的推广空间，并对推广空间拥有持续、合法的收益的权利，推广空间全部内容真实、合法、有效； （3）有资质及能力为委托人提供推广服务 5.3 委托人和推广人了解并同意，本条中的声明是其使用本服务的前提，如有不符或违反，服务方有权拒绝或随时终止本服务，对委托人，服务方并有权根据其违规违法情况补扣相关推广费；对推广人，服务方并有权根据其违规违法情况不予结算或扣减相关推广费，直至永久关闭或注销精选联盟账户。 5.4 推广人应当对使用本服务时的行为负责，除非法律允许或者经服务方事先书面许可，不得具有下列行为：…

1.Non-persistent XSS 便携a.php <?php $input = $_GET[“param”]; echo “<div>”.$input.”</div>”; ?> 访问 https://www.moneyslow.com/a.php?param=<script>alert(/xss/)</script> 2.DOM XSS <html> <head> <meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″> <script type=”text/javascript”> function changeLink() { var str = document.getElementById(“text”).value; document.getElementById(“t”).innerHTML=”<a href='”+str+”‘ >testlink</a>”; } </script> </head> <div id=”t”></div> <input type=”text” id=”text” value=”” /> <input type=”button” id=”s” value=”write” onclick=”changeLink()” /> </html> 测试输入 ‘ onclick=alert(/xss) //