您可以在此处阅读此特定漏洞：http://msdn.microsoft.com/en-us/library/dd565635%28v=vs.85%29.aspx

基本上,http：/// owa /？P = ADwscript AD4alert(42)ADw /脚本AD4在某个地方返回完全未消毒的确切输入,该文档没有指定其编码类型.

这意味着该代码实际上由您的浏览器呈现和解析为< script> alert(42)< / script>在加载时显示弹出窗口“42”.

这个特殊的脚本不是很顽皮,但是如果你将它们重定向到服务器上的那个URL,你可以对人们的帐户做一些非常恶意的事情.就像从您的服务器中嵌入一个讨厌的JS文件,它劫持了页面上的所有输入,或者将病毒插入页面等.

但是,我找不到任何迹象表明OWA存在任何这些漏洞,因此我只能假设您的OWA服务器正在运行具有此漏洞的其他东西.

我刚试过这个针对我们这里的Exchange 2010服务器的漏洞而且它没有做任何事情.如果这是一个标签似乎表明的SBS 2011机器,那么通常远程访问/ owa站点只能在/ remote /文件夹下运行.您是否在域的根目录上运行另一个默认IIS应用程序？