关键信息 受影响的产品 Online Music Site 供应商主页 https://code-projects.org/online-music-site-in-php-with-source-code/ 受影响/修复的版本 V1.0 软件链接 https://download.code-projects.org/details/ca1f3de2-bbe1-4b04-9182-00170c6ca886 漏洞类型 存储型XSS漏洞 根因 在"AdminAddAlbum.php"文件中,POST请求数据未经过转义、清理或参数化,导致提交的恶意Payload(如 )被永久存储在 数据库表中。当文件读取数据并生成HTML时,浏览器会当作HTML标签执行,导致XSS攻击。 影响 利用该漏洞,攻击者可窃取用户Cookies、劫持会话、设置钓鱼代码等。 描述 详情同根因描述。 漏洞分析 应用程序未能适当地过滤、转义或安全输出内容到页面,允许注入的恶意脚本(如JavaScript)被浏览器作为正常页面代码执行。 攻击载荷 漏洞请求数据包 提供了完整的HTTP请求数据包举例。 建议修复 1. 严格限制输入长度。 2. 过滤特殊字符如 , , , , 等,或直接替换为无害字符。 3. 仅允许特定字符/格式,如仅允许字母、数字、下划线用于用户名,否则直接拒绝提交。