关键漏洞信息 CVE编号: CVE-2025-63442 发现者: Shuvo Ahmed Sanin (来自孟加拉红队的研究员) 漏洞描述 漏洞类型: 跨站脚本攻击 (XSS) 受影响组件: Simple User Management System with PHP-MySQL v1.0 影响: 代码执行: 确认为 True 复现步骤 1. 前往登录面板 (http://localhost/Simple-User-Management-System-with-PHP-MySQL/login.php) 并登录账户 nabab。 2. 导航至个人资料部分 (http://localhost/Simple-User-Management-System-with-PHP-MySQL/profile.php?id=7)。 3. 在姓名处替换为以下 XSS Payload: 然后提交表单。 4. 成功注入脚本并执行。 漏洞影响 Session Hijacking: 攻击者可窃取认证Cookie。 Phishing Attacks: 用户可能被诱导泄露敏感信息。 Data Theft: 利用XSS漏洞可能导致信息泄露。 Content Manipulation: 攻击者能够篡改显示内容或破坏应用。 缓解措施 1. Sanitize Input: 严格输入验证并转义特殊字符。 2. Output Encoding: 在浏览器显示用户输入前进行编码。 3. CSP: 实施内容安全策略限制内联脚本执行。 额外参考 链接: - Shuvo Ahmed Sanin's LinkedIn Profile