调试易

漏洞详情：
一、详细说明:如图无法调出用户名
二、漏洞证明:undefined
三、修复方案:未知

Xiake.syncLogin = function(loginCb, noLoginCb) {
    var cbName = "_cb";
    cbName += Math.round(Math.random() * 1E6);
    window[cbName] = function(result) {
        if (result.ret == 0 && result && result.ret == "0") {
            Xiake.gUin = result["uin"];
            Xiake.gNick = result["nick"];
            if (typeof loginCb == "function")
                loginCb()
        } else {
            noLoginCb = typeof noLoginCb === "function" ? noLoginCb : function() {
            };
            Xiake.logout(noLoginCb)
        }
    };
    Xiake._loadLoginStatus({scriptCharset: "utf-8",url: "http://cgi.go.qq.com/cgi-bin/v2/comm/login.fcg?nick=1&callback=" + cbName + "&tk=" + Xiake.security.getAntiCSRFToken(),
        loginCb: loginCb,noLoginCb: noLoginCb})
};
Xiake.gNick是通过上面的JSONP返回的结果进行赋值的，后台压根就没有返回昵称，所以是后台的问题，跟你没有关系。要么就是你的地址写错了。但是看起来请求地址并没有问题。具体的你可以问下后台的人员。方法在xiake.js文件里，自己找。

多谢,我也找到了这里.就是不敢确定.请问可以看出来这站点是用什么做吗?
好像不是传统的web 程序.

程序语言哦.像PHP asp.net这些.我看不出,还不知道找那个部门呢.

你应该问API的提供方，而不是问服务器端是什么语言写的。而且，即使告诉你服务器端是什么写的，估计你也很难找到是哪个部门吧。

ohmygirl说的没错.是要找API
现在的工作太难推进了.
顶头上司不懂技术.我又水平有限.
要找functionsub说的开发人员几乎不可能的.
我有问领导API这些.他完全不懂.请各位大神看下其他频道登陆,也是用的xiake.js却是正常.
望能指点一二.

ohmygirl说的没错.是要找API
现在的工作太难推进了.
顶头上司不懂技术.我又水平有限.
要找functionsub说的开发人员几乎不可能的.
我有问领导API这些.他完全不懂.请各位大神看下其他频道登陆,也是用的xiake.js却是正常.
望能指点一二.
机票那个频道，是从http://travel.go.qq.com/v2/passport/PtCheck.html这个页面获取的登录信息，还有个参数不传不知道有什么影响，代码是在那个页面里的layout_main.js 12行开始其他几个好像也都是引用的那个JS。

联系了一上午,这种PTlogin的API接口如有修改都会统一告知的.
好像这套程序好像是用C++?开发的,完全没有测试环境.毫无进展啊.
太艰难了.
我先哭一会.