关键信息 漏洞标题: PHPGurukul COVID19 Testing Management System 2021 version Stored Cross-Site Scripting (XSS) 描述: 在PHPGurukul COVID19 Testing Management System版本1.0中发现了一个存储型跨站脚本(XSS)漏洞。该漏洞存在于“Take Action”功能中的“Remark”字段,当用户查看测试详情页面时,注入的恶意脚本会被永久存储在应用程序数据库中并执行,导致XSS攻击。 复现步骤: - 导航到测试详情页面,例如:http://localhost/covid-time/test-details.php?id=5&uid=115660226 - 找到“Take Action”功能 - 在“remark”字段中输入XSS载荷(例如:alert('XSS')) - 提交表单 - 当再次查看此特定测试详情页面时,注入的脚本将执行,触发alert()弹窗 影响: 存储型XSS漏洞可能导致各种严重后果,包括: - 会话劫持:窃取用户会话cookie,允许攻击者冒充受害者 - 篡改:修改受影响网页的内容 - 钓鱼:将用户重定向到恶意网站 - 恶意软件分发:注入恶意代码下载并在用户的机器上创建恶意软件 - 数据盗窃:窃取显示在页面上的敏感用户数据 来源: http://localhost/covid4/test-details.php?id=5&uid=71hfhfLZ26 提交者: Aziz (UAE) (+46) 提交时间: Tue, 10 Nov 2020 12:07 PM (35 days ago) 审核时间: Tue, 10 Nov 2020 09:24 AM (yesterday)