关键漏洞信息 1. 漏洞类型: Unauthenticated Stored XSS to Account Takeover 2. 受影响软件版本: Helpy v2.0.0.8 3. 作者: Mohamed Acopamrah 4. 攻击流程: - 利用XSS漏洞在 页面注入恶意脚本。 - 通过恶意脚本获取CSRF token并提交表单,修改管理员账户信息(如密码)以实现账户接管。 5. 关键代码片段: 6. 攻击步骤: - 发送GET请求到 页面。 - 提取CSRF token。 - 构造包含XSS payload的表单数据。 - 发送POST请求到 页面,触发XSS攻击。 - 修改管理员账户信息,实现账户接管。