首页 > 技术笔记 > wordpress > wordpress大前端D8跨站攻击漏洞及解决方法
2013
11-16

wordpress大前端D8跨站攻击漏洞及解决方法

    因为我的博客昨天刚刚转换成wordpress,使用的大前端的D8模版,今天发现一个跨站攻击漏洞,在大前端的网站会被拦截,但是没有任何防护措施的网站便是潜在的威胁。

    漏洞演示

    在搜索框中输入正常文字肯定是没有问题,但是如果在搜索框中输入“test<img src=1 width=500 height=500 onerror=alert(1)>”,如果搜索结果页面弹出警告“1”或者显示下面这样的不能显示的图片,那么就证明你的网站存在这个跨站攻击漏洞。

大前端D8模版跨站攻击漏洞

    在搜索框中输入%27>”><%2Ftitle><%2Ftextarea><%2Fscript><img+src%3Da+onerror%3Dprompt%281%29>然后点击搜索,如果网站上有不明文字,则证明存在跨站攻击漏洞。

    漏洞出现原因

    在输出结果时,用户输入的内容未进行过滤,从而给黑客留下跨站攻击的空子。

    漏洞解决办法

    解决办法非常简单,只需要修改一下search.php文件即可。

修改为


然后将


修改为


最后再修改一个地方,在header.php中查找如下代码:

将其修改为:





最后编辑:
作者:射雕天龙
转载请注明:转载自射雕天龙的博客(http://blog.wangjunfeng.com)
捐 赠如果您觉得这篇文章有用处,请支持作者!鼓励作者写出更好更多的文章!

wordpress大前端D8跨站攻击漏洞及解决方法》有 6 条评论

  1. 晨曦 说:

    一个模板还有xss….汗

  2. 深蓝 说:

    360查的吧

  3. 糗事语录 说:

    已经分享了,谢谢是http://www.qiushiyulu.com

留下一个回复

你的email不会被公开。