关键信息总结 漏洞描述 漏洞类型: 存储型XSS(Stored XSS) 受影响系统: 蛋糕商城JPA版 漏洞参数: 供应商: https://github.com/JerryChu628/QPACookieShop/blob/master/README.md 漏洞细节 问题描述: 在“添加商品”功能中,后端系统通过 接收参数。代码中未对输入参数进行有效过滤,且在存储到数据库前未进行HTML实体编码,导致存储型XSS漏洞。 代码分析: - 后端代码处理前端表单提交时,未进行有效的输入验证。 - 数据存储到数据库时未进行HTML实体编码,直接返回到前端页面。 POC (概念验证) 结果 由于后端对用户提交的表单数据处理不当,以及在存储和渲染过程中缺乏HTML实体编码,导致存储型XSS漏洞被触发。 影响 攻击者可以通过此漏洞注入恶意脚本,影响其他用户的安全。 ``` 这些关键信息展示了漏洞的具体位置、原因以及如何利用该漏洞进行攻击,对于理解和修复该安全问题至关重要。