漏洞关键信息 基本信息 漏洞名称: Stored Cross-Site Scripting (XSS) 产品名称: Bhojon All-In-One Restaurant Management System 作者: 4m3rr0r 受影响版本: Latest 厂商主页: https://www.bdtask.com 软件链接: https://www.bdtask.com/restaurant-management-system.php#live_demo 漏洞详情 类型: Persistent XSS 受影响URL: https://bhojonlatest.bdtask-demo.com/dashboard/home/profile 易受攻击参数: Profile 易受攻击组件: Profile Update / User Information Module 漏洞类型 主要类型: Stored Cross-Site Scripting (XSS) CWE编号: CWE-79 - Improper Neutralization of Input 严重性: 高 根因 应用程序在没有对用户输入进行清理或HTML编码的情况下存储和渲染用户输入,允许JavaScript执行。 影响 账户接管通过会话劫持 管理员账户被攻破 特权升级 持续的JavaScript执行 钓鱼 & 恶意软件注入 描述 在fullname字段中注入 并在查看简档时导致存储的XSS。 概念验证 (PoC) 1. 转到编辑个人资料 2. 输入payload 3. 保存 4. 重新加载页面 → XSS执行 建议的修复措施 清理输入数据 对输出编码 去除scrpt标签 实施CSP(内容安全策略) 使用转义函数 参考资料 CWE-79: Improper Neutralization of Input OWASP XSS Prevention Guide