此漏洞在search.asp 模块过滤不严造成的！
我们那PJ的官方blog站做一个测试，登陆http;//www.pjhome.net，在搜索里输入：<iframe src=http://www.hacker57.cn></iframe>
如下图：

结果我的网站被给套到网页里了！这表明跨站是成功的！如下图：


这个漏洞早就公布了，可能是没人在意吧。虽然危害不是特别大，但是给别有用心的精心的伪造下，骗取网站的管理员来点击，攻击的效果还是不算小的吧。

所以还是提醒下各位，动手修改下search.asp代码吧！解决方法：
找到 关键词 <b><%=SearchContent%>
改为 关键词 <b><%=HTMLEncode(SearchContent)%>

PS:这个白痴漏洞目前国内大部分的blog程序都有，我刚测试了几个不同的blog程序。测试结果如下：
L-Blog存在此漏洞、RO-Blog存在此漏洞，还有很多的blog程序没有测试了。