转载关于ss程序漏洞的文章....

去xxxx 的时候看到使用的是SupeSite网站程序

我就随便注册了一个号 登陆进去后看看这套程序的功能怎么样 没想到注册会员只能发表文章 但是必须要经过管理员审核才可以发表出来 邪恶的想法又出来了~经过测试发现这套程序它忽略了过滤vbscript，因此造成了一个非常严重的跨站漏洞的出现，在文章标题直接写入

<img src="vbscript:msgbox(document.cookie)" />

然后发表就可以 当管理员浏览文章时XSS就会被成功激活 这样就得到了我们想要的东西~~甚至直接拿下该网站！

然后又去测试了一个官网 官网现在使用的是 SupeSite 7.5  但是依然存在此漏洞 看来是通杀了~

目前仅测试了vb脚本 其他的还没测试 XSS的利用几个方法很多 不只是获取 大家自己摸索吧 各位大牛千万别笑话小的 顺便说一句 XSS相当强悍



从别的站看到的~不知道修复了没有。。。