如发现有乱码， 请直接从这里浏览原文
正文摘录:

于user__photo.asp、usersubject.asp、index.asp这三个文件中，来看它们的漏洞代码：user—subject.asp文件部分代码如下：user—phot0.asp文件部分代码如下：index.asp文件的作用是当有新的数据插入库的时候就生成index.html文件，所以跨站的代码就插A到了index.html文件中了。我们来测试一下，注册了用户后，我们进入。用户管理后台”，然后在“相册。选项中选择“相册分类”，点击“相册分类”上的。添加分类”，在分类名称中输人…’><script>alert(56)<／script><””，然后点击。添加”按钮，如图4。图5好了，分类就添加完了，现在我们来看看跨站的效果，打开“相册管理”，怎么样，跨站的代码执行了吧，如图5。我们到首页看看吧，怎么样，跨站代码在首页成功执行了，如图6。图6兴趣上来了吧!我们再看第三个跨站点，这个跨站点存在于user—team.asp和manager／m—team.asp文件中。在Oblog4.0的时候我在官方测试成功了，后来官方在3月7号发布了补丁，本以为偏洞在4.5不会存在，谁知竟然更严重!我们来看漏洞代码：user’一team.asp文件中部分代码如下：manager／m—team.asp文件部分代码如下看到了吧，变量ico没做任何过滤就丢进数据库去了，显然漏洞存在!现在我们再来测试一下。打开“圈子”选项，选择里面的“创建新圈子”，在弹出的表单中的。外部调用”框里输人跨站代码…’><script>alert(1)<／scr。ipt><””，然后点击“确认提交”。好了，我们进入内容管理后台的“圈子管理”看看，怎么样，跨站代码执行了吧，如图7。