个人感觉出这么一个工具挺好的,有助于提高网站站长们的素质,今天早些时候检查了一下,发现2处可以允许XSS的地方。
一看,发现是转向页面的处理,果然是自己不小心,还好没有涉及数据库,否则要被注入了,呵呵。防护修改也很简单,就不提了。
放几张图吧,漏洞补掉,继续安心学习。
修改真心太简单了,写出来太那个了,果断不写了,不过这句
"><script>alert(42873);</script>
可以拿去玩玩,早些时候收集过一篇XSS常见语句,有兴趣的童鞋可以看这里.
然后是建议和详细问题的截图,我觉得判断程序太容易了,目录防护神马的,在PHP头部添加全局变量即可.等回学校再做吧.
robot.txt文件其实还是写allow最好,但是由于现在的各种rewrite..
写allow的话,反而会让robot.txt频繁修改.或许对于机器人太不友好了吧.