本文使用「署名 4.0 国际 (CC BY 4.0)」许可协议，欢迎转载、或重新修改使用，但需要注明来源。 [署名 4.0 国际 (CC BY 4.0)](https://creativecommons.org/licenses/by/4.0/deed.zh)

本文作者: 苏洋

创建时间: 2012年02月08日
统计字数: 608字
阅读时间: 2分钟阅读
本文链接: https://soulteary.com/2012/02/08/%E5%85%B3%E4%BA%8E360%E7%BD%91%E7%AB%99%E5%AE%89%E5%85%A8%E6%A3%80%E6%B5%8B.html

-----


# 关于 360 网站安全检测

个人感觉出这么一个工具挺好的，有助于提高网站站长们的素质，今天早些时候检查了一下，发现2处可以允许XSS的地方。

一看，发现是转向页面的处理，果然是自己不小心，还好没有涉及数据库，否则要被注入了，呵呵。防护修改也很简单，就不提了。 

放几张图吧，漏洞补掉，继续安心学习。 

![20120208041201](https://attachment.soulteary.com/2012/02/08/20120208041201.jpg "20120208041201")

修改真心太简单了，写出来太那个了，果断不写了，不过这句

```html
"><script>alert(42873);</script>
```

可以拿去玩玩,早些时候收集过一篇XSS常见语句,有兴趣的童鞋可以看[这里](http://soulteary.com/2009/04/17/xss-test-codes.html). 

然后是建议和详细问题的截图,我觉得判断程序太容易了,目录防护神马的,在PHP头部添加全局变量即可.等回学校再做吧. 

robot.txt文件其实还是写allow最好,但是由于现在的各种rewrite..

写allow的话,反而会让robot.txt频繁修改.或许对于机器人太不友好了吧.

![20120208041219](https://attachment.soulteary.com/2012/02/08/20120208041219.jpg "20120208041219")