关键信息总结 受影响产品 产品名称: School Fees Payment System V1.0 受影响文件: /fees.php 版本: V1.0 漏洞类型 漏洞类型: 存储型跨站脚本(Stored Cross-Site Scripting) 根因 在 文件中,攻击者可以通过 参数注入恶意代码,并直接在页面上显示,无需任何清理或验证。 影响 攻击者可以利用此漏洞进行会话劫持、敏感数据泄露、网站破坏、客户端资源消耗和组织信誉损失等。 描述 该漏洞允许攻击者通过 参数注入恶意代码,从而在用户浏览器中执行任意JavaScript代码。这可能导致用户的Cookie被盗取和其他安全问题。 漏洞细节和POC 漏洞位置: 参数 Payload: 概念验证 源代码追踪显示了如何在 文件中处理表单数据,并将其直接插入数据库,而没有进行适当的清理或安全检查。 漏洞重现 在 页面中,应用程序从数据库中提取存储的数据并直接输出到前端,没有任何格式化或安全措施。 Payload: `` transaction`参数注入恶意代码,对系统和用户造成严重威胁。