关键漏洞信息 产品 名称: Zoo Management System 版本: v1.0 漏洞类型 类型: 跨站脚本 (XSS) 影响组件 文件: /admin/templates/animal_form_template.php 漏洞详情 描述: 在 组件中,通过 URL 参数的用户输入未经适当清理直接反映在页面输出中,导致反射型 XSS 漏洞。 根本原因: 未对 URL 参数中的用户输入进行清理。 影响 会话劫持 未经授权的操作 数据窃取 恶意软件分发 复现步骤 1. 访问 URL: 2. 观察 JavaScript 执行。 有效载荷示例 1. 基本: 2. 窃取 Cookie: 3. 重定向: 缓解措施 1. 输入验证: - 拒绝特殊字符 - 使用白名单方法 2. 输出编码: - htmlspecialchars() - htmlentities() 3. 安全头: - Content-Security-Policy - X-XSS-Protection 4. 定期安全测试