缘起

此为 WordPress 搜索跨站脚本攻击（XSS）漏洞修复方法（感谢 360，让我发现此漏洞）的后续。

前些日子，收到 360 的提醒，说我的网站竟然高危，仅仅获得 2 分，速度打开，一看，满屏幕的跨站脚本攻击漏洞（WEB2.0），细细查看，愣了我半天。主要是说我的网站的 s 参数（搜索参数）和 replytocom 参数（回复参数）存在漏洞。可是，我不知道 360 得出的这个结果从何而来，我反复访问所谓的漏洞页面和正常页面进行检测，发现（也许是我眼花）毫无漏洞。而且那个搜索参数漏洞我之前才修复，并且进过检测确认没有已漏洞了，真不知道那个漏洞从何而来。

继续阅读 →

缘起

近些日子，发现了 360 网站安全检测这个玩意儿，兴致勃勃地填入自己的网站开始了检测之旅。

悲剧的是，360 居然告诉我，我的网站有漏洞。知名的 WordPress 开源程序居然有漏洞？令我有所疑惑，仔细一查，原来这个漏洞不是 WordPress 弄出来的，而是我们自己的失误而造成的。 继续阅读 →