我一直在研究XSS如何工作,并通过评论部分实现了我的Wordpress网站易受脚本攻击。
我做了一个非常愚蠢的测试,我相信它根本不起作用。发表以下评论:
Hello Wold!"> <script> console.log("owned!") </script>
令我惊讶的是,它已提交并且控制台已记录:
> owned!
我对这种漏洞知之甚少,但我认为我不是正常的行为。任何人都可以使用恶意脚本发表评论并控制我的网站。
有人可以就此提出一些建议吗?
答案 0 :(得分:0)
1)您需要在表单上添加验证码,如果有任何脚本将其删除,请检查管理员的评论。 2)安装wordreference wp插件并阻止不需要的IP地址和位置 3)更改默认用户和密码