关键漏洞信息 受影响的产品 产品名称: Directory Management System 版本: V2.0 链接: https://phpgurukul.com/directory-management-system-using-php-and-mysql/ 漏洞文件 文件: /admin/add-directory.php 漏洞类型 类型: 跨站脚本 (XSS) 根因 通过 "fullname" 参数注入恶意 JavaScript 代码,该输入在 HTML 响应中直接呈现,未进行适当的输出编码或验证。 影响 攻击者可以利用此 XSS 漏洞执行任意脚本,导致会话劫持、敏感用户信息泄露、网页篡改和未经授权的操作。 对系统的机密性、完整性和可信度构成严重威胁,可能损害用户数据、破坏系统声誉并干扰正常业务运营。 描述 在对 Directory Management System 的安全评估中,发现了一个关键的跨站脚本漏洞,攻击者可以通过 "fullname" 参数注入恶意 JavaScript 代码。 漏洞位置 参数: fullname 漏洞请求包 建议修复措施 1. 使用预编译语句和参数绑定。 2. 进行输入验证和过滤。 3. 最小化数据库用户权限。