关键信息 受影响产品 产品名称: Apartment Visitors Management System 受影响文件: visitor-detail.php 注入点: www/visitors-form.php 易受攻击参数: v_visiname 漏洞类型: 存储型跨站脚本(Stored XSS) 严重性: 高 发现者: PPPPAir 测试版本: V1.0 描述 在Apartment Visitors Management System中发现了存储型跨站脚本(XSS)漏洞。该漏洞存在于对v_visiname字段的POST请求中,由于输入数据未进行转义和输出编码,导致恶意JavaScript代码可以直接渲染到HTML内容中。 技术细节 根因 v_visiname参数在渲染前未被转义或编码。 内容嵌套在HTML body上下文中,允许执行事件处理属性如 。 未设置内容安全策略(CSP)以限制执行行为。 影响 攻击者可以: 在受害者的浏览器中执行任意JavaScript代码。 窃取cookie或会话令牌。 通过会话劫持执行CSRF类攻击。 如果管理员查看了注入的内容,则可能提升权限。 泄露敏感数据或将用户重定向到恶意站点。 漏洞位置与参数 文件: /visitor-detail.php 注入点: v_visiname (通过POST请求到/www/visitors-form.php) sink: HTML输出(无转义) 概念验证(PoC) 提供了详细的HTTP请求示例和视频链接。 建议修复措施 1. 输出编码(服务器端修复 - 必须) 2. 输入验证 3. 应用内容安全策略(CSP) 4. 使用过滤器