接到许多朋友在群里反应Yusi主题搜索结果里面会出现XSS漏洞。所以查了一下原因修复了一下。
大家可以在这里下载文件替换Yusi主题中文件夹目录下的search.php
简单说一下如何寻找XSS漏洞
一般我们在浏览网站时,发现URL中存在汉字或带百分号的URL编码时,可以在其后边加上:
<script>alert('XSS漏洞Test')</script>
来测试该URL是否存在XSS漏洞。如果出现弹出框内容。说明网站存在XSS跨站漏洞。
另外,在挖掘XSS漏洞的时候,可能遇到提示:参数值中包含非法字符串。
这种情况是因为网站挂了通用防注入程序,禁止提交单引号,我们这时只需要把测试语句中的单引号换成双引号即可,即:
<script>alert("XSS漏洞Test")</script>
网站如果存在XSS漏洞会有多大危害,那就得看对方的本事了。不多说。
未经允许不得转载:欲思博客 » Yusi主题:WordPress搜索结果XSS跨站漏洞修复
评论21