phpwind暴出跨站漏洞，小漏洞，大危害
來源:黑客技術聯盟（www.heixueit.com）
前言：
大家都應該知道，國內主流論壇程式主要有兩大家，一種是phpwind論壇程式，一種是dz論壇程式；
不知道的，百度搜尋一下便知道了。
我也是無意間發現這個漏洞的，如果有人惡意利用以下的方法，誰又會想到phpwind官方網站竟然會被人通過這樣的方法掛馬？小漏洞存在的危害並不小！所以提醒廣大的網民一定要警惕網路安全。
連線：http://www.phpwind.com/click.php?id=13&url=http://www.baidu.com
說明：先以百度為例子。測試的時候是phpwind官方網站地址測試的。返回如下頁面：
首先打開：http://www.phpwind.com，然後在地址後面加/click.php?id=13&url=http://www.baidu.com加到/click.php?id=13&url=http://www.baidu.com後面，複製到IE欄，回車，如果把：http://www.phpwind.com/click.php?id=13&url=http://www.baidu.com後面的http://www.baidu.com換成：http://www.hxhack.com，那么http://www.phpwind.com/click.php?id=13&url=http://www.hxhack.com就會掉轉到我們華夏黑客聯盟首頁。
如果http://www.phpwind.com/click.php?id=13&url=這個漏洞被利用，被掉轉到掛馬的地址呢？
一旦這個被利用，造成的危害也是巨大的。把http://www.baidu.com轉換成16進制的字元串，再在每兩個字元前加上%，變成了
%68%74%74%70%3A%2F%2F%62%61%69%64%75%2E%63%6F%6D，其實這個是網頁加密的一種形式，我不過是用計算器手工完成，之後合併成如下的字元串%68%74%74%70%3A%2F%2F%62%61%69%64%75%2E%63%6F%6D
加到http://www.phpwind.com/click.php?id=13&url=後面，複製到IE欄，回車
http://www.phpwind.com/click.php?id=13&url=%68%74%74%70%3A%2F%2F%62%61%69%64%75%2E%63%6F%6D，一旦有人把形如上面並且把URL=後面換成惡意網址之後加了密，然後把網址發給您，對於你自己，你似乎沒有理由相信，會是惡意網站。誰會想到phpwind也會有病毒？
其實在這種門戶安全意識下喪失了安全。如果寫成QQ尾巴病毒，用來大面積傳播，後果更加嚴重。總之僅以此文提示大家多留意一些，避免慘遭“毒”害。