很多博客都存在的跨站漏洞！

转自 啊D的博客
此漏洞在 search.asp 模块过滤不严造成的！



测试的内容这次是输入 <iframe src=http://www.baidu.com></iframe>
之后按“查找”





将会发现，百度给套到网页里了！ 呵，这表明跨站是成功的！

还试了两个朋友的站
1。




2。




其实这个漏洞很早就人发现的，但好像没人理会！

但有意的伪造，利用还是不小的！

http://www.xxxx.net/search.asp?SearchContent=<iframe src=http://www.baidu.com></iframe>&searchType=title

改成

http://www.xxxx.net/search.asp?SearchContent=%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%77%77%77%2E%62%61%69%64%75%2E%63%6F%6D%3E%3C%2F%69%66%72%61%6D%65%3E&searchType=title

对于自己网站的网址，很多人都不会在意，也看不出连接的内容是什么，如果改为木马的内容，再把iframe的高度和宽度改为0，就不显示了！
这样给种马了都不知什么事了！

又或者利用管理员点击你的连接，做点管理员可以做的事，但可以做什么事，我就没有深究了！

解决方法：
找到 关键词 <b><%=SearchContent%>
改为 关键词 <b><%=HTMLEncode(SearchContent)%>

可能有些博客有些不同，请自己看着办吧！