关键信息 漏洞类型 Multiple Stored Cross-Site Scripting (XSS) 漏洞描述 在 文件中存在多个存储型跨站脚本(XSS)漏洞。 攻击者可以通过在 和 参数中注入恶意脚本,这些脚本会被存储在服务器上,并在受影响页面被用户访问时自动执行。 漏洞细节 易受攻击的端点: 参数: , 触发页面: 证明概念 (PoC) 1. 访问易受攻击的端点。 2. 在 字段中插入 payload: . 3. 在 字段中插入 payload: . 4. 点击 "Salvar" 按钮。 5. 触发页面会自动激活,显示弹窗提示。 影响 窃取会话Cookie: 攻击者可以利用窃取的会话Cookie劫持用户的会话并代表用户执行操作。 下载恶意软件: 攻击者可以诱骗用户下载和安装恶意软件。 浏览器劫持: 攻击者可以劫持用户的浏览器或提供基于浏览器的漏洞利用程序。 窃取凭证: 攻击者可以窃取用户的凭证。 获取敏感信息: 攻击者可以获取存储在用户账户或浏览器中的敏感信息。 破坏网站: 攻击者可以通过篡改内容来破坏网站。 误导用户: 攻击者可以改变给访问目标网站的用户提供的指令,误导他们的行为。 损害企业声誉: 攻击者可以通过破坏公司网站来损害企业的形象或传播错误信息。