关键漏洞信息 漏洞类型 Cross-Site Scripting (XSS): 存储型跨站脚本攻击 影响的端点和参数 易受攻击的端点: 受影响的参数: 影响版本 受影响版本: <= 3.4.4 修复版本: 3.4.5 漏洞描述 应用程序在 参数中未能正确验证和清理用户输入,允许攻击者注入恶意脚本并存储在服务器上。当受影响页面被用户访问时,恶意脚本会在用户的浏览器中自动执行,构成安全风险。 PoC (概念验证) Payload: 请求示例: 影响 窃取会话Cookie: 攻击者可以利用窃取的会话Cookie劫持用户会话并代表用户执行操作。 下载恶意软件: 攻击者可以诱骗用户下载和安装恶意软件到他们的计算机上。 劫持浏览器: 攻击者可以劫持用户的浏览器或提供基于浏览器的攻击。 窃取凭证: 攻击者可以窃取用户的凭证。 获取敏感信息: 攻击者可以获得存储在用户账户或浏览器中的敏感信息。 篡改网站: 攻击者可以通过更改内容来篡改网站。 误导用户: 攻击者可以改变给访问目标网站的用户的指令,误导他们的行为。 损害企业声誉: 攻击者可以通过篡改公司网站来损害企业的形象或传播错误信息。