想想也算是大问题，还是得贴出来，大家都参考一下。此文是影子写的，本人参与修补。

想想也算是大问题，还是得贴出来，大家都参考一下。此文是影子写的，本人参与修补。

大家先来看看这幅图，是我测试天涯的博客时截的图！

BUG地址: 存在漏洞是个人资料页面[member.asp]

BUG原因: 页面字符过滤不严造成的!

BUG利用:

<script>window.open(”http://www.nosky.cn”)</script></p> <p><iframe src=http://www.nosky.cn width=500 height=500></iframe></p> <p><script>alert(’测试一下哈…小白看下哦~~’)</script>

上面是常见的跨站攻击代码，最后一种还好！前两种不用我说了，非常危险！比如如果我们把URL换成一个网页木马的地址，其后果可想而知了！所以喜欢各位站长尽快修补漏洞!以免造成不必要的麻烦甚至危害!

下面这个方法虽然有点笨，但是绝对可以抵挡得住跨站攻击！

BUG防范:因为存在漏洞的详细地方是QQ/MSN那一栏—我们可以直接限制在QQ/MSN资料这一栏用户所提交的字符数，这里我把它限定为18个。此方法经过我[Shade's Blog]天涯剑心居多次测试！没有任何问题！

希望大家尽快修补！

具体方法如下：

首先打开你[你自己站的]的member.asp文件</p> <p>搜索</p> <p><input name=”mem_IM” type=”text” id=”mem_IM” value=”<%=CovHtml(mem_EditView(”mem_IM”))%>”></td></p> <p>然后替换成：</p> <p><input name=”mem_IM” type=”text” id=”mem_IM” value=”<%=CovHtml(mem_EditView(”mem_IM”))%>”maxlength=”18″></td></p> <p>注意上面这个数字18可以自定义！建议不要大于18！他是限制QQ提交栏的字符数量，QQ目前最大位数书9位 ，MSN就不知道了。。。如果你的站只有QQ这栏 那么建议你填写”9″，如果有MSN那么就和我一样填写18 或者更小！

ps：

本站原下载的也有此漏洞，现已修补。请原来下载本站的朋友也更新一下menber.asp。谢谢合作！

如果你的好友正在用2s space，请转告！！！此漏洞可大可小，要是被人挂马就不好了！！！