第五题AppExploitMe畸形Office文件分析25分-看雪.DOCVIP

注意：比赛结束前，严禁在提交版面以外的地方以任何形式讨论赛题，否则立刻取消资格。如有疑问请在比赛提交版以参赛ID发帖提出。比赛期间请密切关注比赛提交版的置顶通知。微软杯exploit me 2011 挑战赛 答题卷*提交者看雪ID（必填）：demoscene第一问第二问第三问第四问第五问第六问合计阅卷人题1题2题3题4题5题6题7总得分：第一题 Web Exploit Me:初级XSS （5分）题目描述：HYPERLINK /xss1.aspx/xss1.aspx?xss1.aspx程序通过用户输入的加密密钥对原始内容进行加密，并将加密后的内容显示到页面上。请判断该程序是否有xss漏洞，如果存在，请利用此漏洞在IE下弹出显示“xss”字样的消息框。 第一问： 网页是否有xss漏洞？IE下成功利用xss漏洞应输入内容？(3分)答:有。第二问： 漏洞利用的思路简述（1分）。第三问： XSS Exploit POC成功后的截图 (1分)第二题 Web Exploit Me : XSS （10分）题目描述：HYPERLINK /xss2.aspx /xss2.aspx程序将用户输入的内容解析并显示到页面上。支持用户输入HTML代码。程序本身具备一定的过滤能力，能够将常见的危险标签和属性进行过滤，过滤规则集合了正则和DOM过滤。请尝试在各类浏览器中绕过过滤机制，