一个经典xss问题,本身够不该出现了。但是在中国这些老站上面以很大概率存在。搜索框跨站攻击,分两步:

第一:搜索:

第二:如果弹出搜索框,像这样:ok,那就发挥你的想想吧。

4697cc9df589f3df4ea8ad4a478b184e.jpg

我一般用来跳转,有什么呢?要是找个牛逼的站跳转可以骗过一些SB过滤系统。不多说了,你懂得。

如何发掘呢?google hack!搜索intext:产品搜索 intitle:产品搜索