关键信息 受影响产品 产品名称: Apartment Visitors Management System 受影响文件: /awards-reports.php 注入点: /awards/visitors-form.php 易受攻击参数: xVisitor 漏洞类型: 存储型跨站脚本(Stored XSS) 严重性: 高 发现者: HieuGITLAB 测试版本: V1.0 描述 发现了存储型跨站脚本(XSS)漏洞,由于输入未正确清理和输出编码不当。 通过POST请求提交的 字段中的用户提供的输入被保存并在 中直接渲染为HTML内容,没有任何转义或过滤。 技术细节 根因 参数在渲染前未进行清理或编码。 内容被注入到HTML主体上下文中,允许执行类似 的事件处理属性。 没有内容安全策略(CSP)来限制执行行为。 影响 攻击者可以: - 在访客浏览器中执行任意JavaScript代码。 - 窃取cookie或会话令牌。 - 通过会话劫持执行CSRF类攻击。 - 如果管理员查看注入的内容,则提升权限。 - 泄露敏感数据或将用户重定向到恶意站点。 漏洞位置与参数 文件: /awards-reports.php 注入点: xVisitor (通过POST请求到 /awards/visitors-form.php) 问题: HTML输出(无转义) 概念验证(PoC) 包含HTTP请求示例和截图。 建议修复措施 1. 输出编码(服务器端修复 - 必须) 2. 输入验证 3. 应用内容安全策略(CSP) 4. 使用净化器