关键信息 漏洞详情 CVE编号: CVE-2025-60313 发现者: Ivan Cese (LinkedIn) 受影响产品: Link Status Checker - 1.0 厂商: Sourcecodester 漏洞类型: 跨站脚本(XSS) 描述 Sourcecodester Link Status Checker 1.0 在 "Enter URLs" 输入字段中存在跨站脚本(XSS)漏洞。攻击者可以注入任意 HTML/JavaScript,当受害者点击 "Check URLs" 按钮时,输入内容会被渲染并执行,导致在受害者浏览器中执行潜在的恶意代码。 攻击向量 攻击类型: 远程 影响: 代码执行、权限提升、信息泄露 复现步骤 1. 将潜在的恶意 payload 插入到检查链接状态和可用性的输入字段中。 2. 点击 "Check URLs" 按钮查看链接的状态/可用性。 3. 输入的 Link URL 在输出中显示,未经验证,导致执行潜在的恶意 payload。 影响 1. 允许窃取 cookie 或会话令牌,使攻击者能够冒充用户并提升权限。 2. 通过恶意注入促进页面内钓鱼、凭证收集或恶意软件分发。 3. 允许外泄或操纵敏感用户数据,损害信任和应用程序的完整性。 缓解措施 1. 输入验证与清理: 在呈现之前严格验证和编码所有用户提供的数据。 2. 内容安全策略 (CSP): 实施严格的 CSP 来限制脚本源并防止内联脚本执行。 3. 输出编码: 根据上下文(HTML、JavaScript、URL 等)正确编码数据。 4. 使用安全框架/库: 利用自动处理转义和防止 XSS 的框架。 5. HTTP-only Cookies: 将会话 cookie 标记为 HttpOnly 以防止客户端脚本访问。