2006年10月3日星期二

电信114搜索发现重大漏洞,可直接执行XSS语句

听说微软的Live Search与中国电信合作了,微软为电信提供技术支持,将他们的搜索服务与电信的“网页揪错”捆绑起来.
  登陆Live Search与电信合作的搜索引擎后,随便搜索了一下site:flyt.cn,结果意想不到,在点击下一页后,出现问题了,突然弹出一个对话框如下:


  后来我查看源代码后发现,Live Search所收录的网页里面有我blog中一篇“某些大站的XSS跨站”,这篇文章里面有一些XSS语句,Live Search搜索出来的结果直接执行了这些语句,如果我在某篇文章里写上iframe....挂个马,不知道会有什么情况,呵呵!看来微软细节还是没有做好!

  微软自己的Live Search却没有这么弱智的BUG,呵呵!

原文链接:http://www.cnbeta.com/modules.php?name=News&file=article&sid=16169

没有评论: