从这个网页截图中,可以获取到以下关于漏洞的关键信息: 漏洞概述 漏洞类型: XSS (跨站脚本攻击) 影响产品: OA系统后端informchecktop接口 发现日期: 2023年1月1日之前 漏洞细节 1. 参数接收问题: - 对象接收来自客户端的请求参数。 - 类包含多个可以直接由客户端输入的参数。 2. 参数处理问题: - 在 中, 参数被识别为 类型。 - 当 参数错误地以字符串形式传递时,会报告一个名为 的错误。 3. 错误处理问题: - 错误信息存储在当前HTTP请求中,并作为属性 传递。 - 在 中,所有数据传递给 方法进行错误处理。 4. 模板渲染问题: - 在 中,检查请求中是否存在 错误。 - 在 中,所有数据返回给 视图模板。 5. XSS漏洞确认: - 在视图模板中引入外部模板文件 。 - 在 中调用 元素,且未对用户输入进行过滤或转义。 - 当 参数以恶意代码输入时,存在XSS漏洞。 证明概念(PoC) 构建PoC,登录、捕获数据包并替换Cookie。 示例URL: 总结 该漏洞是由于对用户输入参数的不当处理和缺乏适当的过滤与转义导致的XSS漏洞。攻击者可以通过构造恶意输入触发该漏洞,执行任意JavaScript代码。