关键信息 漏洞类型 Multiple Stored Cross-Site Scripting (XSS) 漏洞描述 在 文件中发现了多个存储型跨站脚本(XSS)漏洞。 攻击者可以通过 和 参数注入恶意脚本,这些脚本会被存储在服务器上,并在用户访问受影响页面时自动执行。 漏洞细节 易受攻击的端点: 参数: , 触发页面: 证明概念 (PoC) 1. 访问易受攻击的端点。 2. 选择默认选项。 3. 在第二个字段 ( ) 和第三个字段 ( ) 中插入以下payload: 4. 点击“Salvar”按钮。 5. 当触发页面被访问时,恶意脚本会在受害者的浏览器中自动执行。 影响 窃取会话cookie: 攻击者可以利用窃取的会话cookie劫持用户的会话并执行操作。 下载恶意软件: 攻击者可以将用户重定向到下载和安装恶意软件的网站。 点击劫持: 攻击者可以劫持用户的浏览器或交付基于浏览器的exploits。 窃取认证凭证: 攻击者可以窃取用户的认证凭证。 获取敏感信息: 攻击者可以获得存储在用户账户或浏览器中的敏感信息。 篡改网站内容: 攻击者可以篡改网站内容。 误导用户行为: 攻击者可以改变提供给访问目标网站的用户的指示,误导他们的行为。 损害企业声誉: 攻击者可以通过篡改公司网站来损害企业的形象或传播错误信息。 ``` 从截图中可以获取到关于漏洞的关键信息包括漏洞类型、漏洞描述、漏洞细节、证明概念(PoC)以及影响等。