标签： 跨站漏洞

Beef-XSS是一款功能强大的 「XSS漏洞利用工具」，kali自带，基于Ruby语言开发。 一、首次使用 在kali中搜索 beefxss，就能找到。 单击打开，会自动运行「beef-xss 服务」，并打开Web界面。 提示：如果弹出的Web界面提示链接失败，可以关掉终端命令行，重新打开一次beef xss。 换成kali虚拟机的IP，也可以在物理机上访问Web界面：http://127.0....

近日，安恒信息安全研究院在研究过程中发现百度、腾讯、新浪等多家互联网公司的WEB应用产品存在存储型跨站漏洞，影响和危害十分严重，可能直接影响中国互联网数以亿记的广大网民的信息安全。安恒信息安全研究院本着对互联网的“协作”精神及安全研究团队的责任感，在发现漏洞后立即与百度等公司安全部门取得联系并提交所发现的漏洞，并协助其修复漏洞。 危害 互联网高速发展的这几年，跨站漏洞一直排在OWASP十大漏洞的前...

　　前几天游侠（https://www.youxia.org）曾经在博客提到，说外交部的网站有跨站脚本漏洞（原文链接：[中国人民共和国外交部网站的一个跨站漏洞]，然后从外交部网站找到管理员的邮箱发了一封邮件，今天得到了回复。

　　信中说此XSS/CSS问题已经修复，上去看看，依然提交以前的测试语句：

　　可以看到，的确已经修复了。外交部网站管理员的效率还是比较高的。
　　我说：得到了外交部网站工作人员的表扬；哥们说：得强调下，是书面表扬 🙂
　　对外交部网站工作人员的态度表示赞赏，要知道：以前经常发现网站有漏洞，写个木马过去，然后给管理员发邮件说网站存在漏洞，是否需要帮助？人家都不鸟你……除非哪天网站彻底挂掉……

　　中华人民共和国外交部网站 http://www.fmprc.gov.cn
　　这个XSS漏洞不难利用，问题在 search.jsp 文件过滤不严格，且没有过滤post提交的数据，我们看看攻击的截图：

　　或者这个：

　　当然，用来做点别的也行……
　　测试链接：

http://www.fmprc.gov.cn/wjb/search.jsp?searchword=<script>alert('youxia')</script>


　　或在：
　　http://www.fmprc.gov.cn/wjb/search.jsp
　　搜索框中输入：

<script>alert('youxia')</script>