最近Sun的公告http://sunsolve.sun.com/search/document.do?assetkey=1-66-262428-1说修正了一个XSS漏洞。但是由于是官方发布的公告，并没有提到PoC(废话，官方怎么可能提供PoC呢)。Google了一下也无果，搜索了一下补丁，发现http://sunsolve.sun.com/search/document.do?assetkey=1-21-136986-03-1上面列出了两个jsp文件很是可疑。于是乎测试了一把，发现了确实有XSS位于如下位置。

 

https://ip:6789/console/faces/com_sun_web_ui/help/helpwindow.jsp?pageTitle=Help<script>alert('test');</script>