关键漏洞信息 目标网站: https://demo.bagisto.com,运行最新版本的Bagisto应用。 漏洞类型: XSS(跨站脚本攻击) 复现步骤: 1. 访问https://demo.bagisto.com。 2. 点击“Prepare Demo”并等待几秒。 3. 点击右上角的“Admin Panel”导航到管理面板。 4. 使用默认凭据登录。 5. 进入产品目录(左侧菜单中的Catalog)。 6. 选择任意产品并点击箭头按钮。 7. 滚动到产品描述部分。 8. 点击图片图标(插入/编辑图片),进入上传功能。 9. 上传包含以下XSS有效载荷的.jpg扩展文件(xss.jpg): 10. 点击保存。 11. 在描述中显示的SVG文件,将其拖到新浏览器标签页,触发上传的XSS文件执行。 影响: 成功触发XSS攻击,弹出警告框显示当前域名。