Beef-XSS是一款功能强大的 「XSS漏洞利用工具」,kal…
标签: 跨站漏洞
安全警报:多家大型互联网企业被爆跨站漏洞
近日,安恒信息安全研究院在研究过程中发现百度、腾讯、新浪等多家互…
收到了外交部网站的反馈信息
前几天游侠(https://www.youxia.org)曾经在博客提到,说外交部的网站有跨站脚本漏洞(原文链接:[中国人民共和国外交部网站的一个跨站漏洞],然后从外交部网站找到管理员的邮箱发了一封邮件,今天得到了回复。
信中说此XSS/CSS问题已经修复,上去看看,依然提交以前的测试语句:
可以看到,的确已经修复了。外交部网站管理员的效率还是比较高的。
我说:得到了外交部网站工作人员的表扬;哥们说:得强调下,是书面表扬 🙂
对外交部网站工作人员的态度表示赞赏,要知道:以前经常发现网站有漏洞,写个木马过去,然后给管理员发邮件说网站存在漏洞,是否需要帮助?人家都不鸟你……除非哪天网站彻底挂掉……
中国人民共和国外交部网站的一个跨站漏洞
中华人民共和国外交部网站 http://www.fmprc.gov.cn
这个XSS漏洞不难利用,问题在 search.jsp 文件过滤不严格,且没有过滤post提交的数据,我们看看攻击的截图:
或者这个:
当然,用来做点别的也行……
测试链接:
http://www.fmprc.gov.cn/wjb/search.jsp?searchword=<script>alert('youxia')</script>
或在:
http://www.fmprc.gov.cn/wjb/search.jsp
搜索框中输入:
<script>alert('youxia')</script>