接到许多朋友在群里反应Yusi主题搜索结果里面会出现XSS漏洞。所以查了一下原因修复了一下。

大家可以在这里下载文件替换Yusi主题中文件夹目录下的search.php

简单说一下如何寻找XSS漏洞

一般我们在浏览网站时，发现URL中存在汉字或带百分号的URL编码时，可以在其后边加上：

<script>alert('XSS漏洞Test')</script>

来测试该URL是否存在XSS漏洞。如果出现弹出框内容。说明网站存在XSS跨站漏洞。

另外，在挖掘XSS漏洞的时候，可能遇到提示：参数值中包含非法字符串。

这种情况是因为网站挂了通用防注入程序，禁止提交单引号，我们这时只需要把测试语句中的单引号换成双引号即可，即：

 <script>alert("XSS漏洞Test")</script>

网站如果存在XSS漏洞会有多大危害，那就得看对方的本事了。不多说。