WooYun.org

http://click.cm.sandai.net/UClick?gs=cmuclick&ad=1&location=xx
这个链接没有对location做检查，直接拿来做http header的location输出了，那么最直接的，产生一个任意地址跳转的漏洞。

这样来看，很多http header的location利用就限制在任意跳转了，利用范围顿时觉得小了很多。（ WooYun: 腾讯URL跳转 & XSS 这个帖子说opera的location是可以X的，但是没有装，也不了解，先这样吧）。
接下来想的，自然是给location提交一些其他奇葩的值，比如回车之后再输出一个location，浏览器会怎么解析这个http头呢？不过就这时，神奇的事情发生了：

很明显的，程序框架或者语言本身防范了回车这个问题，或者说很严格的执行了http的标准，导致这样的输出是不被认可的。。。。
但是细心的洞主立即想到了另外一个问题，这个出错信息会不会没有过滤？立即尝试下。。。。果然不会过滤

注意到服务器返回的conten-type是text/plain;，所以几乎对IE以外的浏览器没有影响了

一些web应用没有关闭错误显示，并且很直接没有过滤的把错误信息显示出来，至少这是我第二次遇到错误信息导致的xss了。