关键信息总结 漏洞描述 漏洞类型: JavaScript代码注入 受影响版本: H3blog 1.0 漏洞端点: 攻击向量: 伪造的 头 攻击过程 1. 伪造请求: - 攻击者可以构造一个包含恶意JavaScript代码的登录请求。 - 通过伪造 头,攻击者可以控制记录的日志中的IP地址。 2. 日志记录: - 后端记录用户操作日志,包括用户名和IP地址。 - 日志记录方法使用了 装饰器,其中包含 方法。 3. 代码执行: - 当管理员查看操作日志时,恶意代码会被执行。 - 这可能导致敏感信息(如cookie)的窃取。 示例代码 攻击示例 结果 恶意代码成功执行,显示 。