从这个网页截图中可以获取到以下关于漏洞的关键信息: 漏洞名称: Stored XSS 严重性: High CVE URL: https://github.com/NullMinds/CVE-Hunting/tree/main/Online%20Shopping%20Portal/Stored%20XSS%20in%20Quantity%20Parameter.pdf 官方项目: Online Shopping Portal Project 官方网站: http://nullminds.github.io/shopping-portal-free-download/ 版本: 1.1 受影响的组件: Quantity Parameter 描述 Stored Cross-Site Scripting (XSS) 漏洞在购物网站应用程序中被发现。应用程序未能正确清理用户输入,导致在添加产品时, 参数中的恶意脚本未被过滤。每次访问受影响页面时,这些脚本都会执行,对所有查看操纵内容的用户造成影响。 这种类型的 XSS 特别危险,因为它会影响每个访问受影响页面的用户,而不仅仅是直接与操纵页面交互的用户。 影响 由于攻击者可以将恶意脚本永久存储在服务器上,并且每次访问受影响页面时都会执行,这可能导致: 完全账户泄露 会话劫持 马尔文传递 在用户不知情的情况下代表用户执行操作(CSRF) 缓解措施 清理输入: 确保所有用户输入都经过严格验证和清理,特别是像 这样的数字字段。 编码输出: 在 HTML、JavaScript 或其他浏览器执行上下文中呈现数据之前进行编码,以防止注入脚本的执行。 使用 HTTP 安全头: 应用安全头如 X-XSS-Protection 和 Content-Type-Options 来最小化 XSS 影响。 输入白名单: 只允许预期和安全的输入。使用正则表达式强制模式,如果适用的话。 数据库清理: 识别并删除数据库中可能继续影响用户的任何存储的恶意实体。 定期审计: 进行定期的安全测试和代码审查,以识别和修复 XSS 风险。