在日常的安全类测试用例检查过程中,发现禅道18.7开源版系统竟然存在着安全漏洞已及时反馈给禅道团队,希望能及时的讲该漏洞。
漏洞截图如下:
XSS漏洞
XSS漏洞是指黑客可以通过在网页中注入脚本,从而实现对网站的攻击。在禅道系统中,用户通过访问测试用例触发该漏洞,由此证明存在着XSS存储型漏洞。
原理
被保存到服务器上,显示到HTML页面中,经常出现在用户评论的页面,攻击者将XSS代码保存到数据库中,当用户在此访问这个页面时,就会触发并执行XSS代码,窃取用户的敏感信息。
特点
危害性最大:持久的保存在服务器上
持久型XSS
js代码不在某个参数中,而是被写进了数据库或文件可以永久保存数据的介质中,如留言板等。
数据流量走向:浏览器—>后端—>数据库—>后端—>浏览器
内容已经被部分隐藏,请输入验证码查看全部内容请关注本站微信公众号,回复“验证码”,获取验证码。在微信里搜索“小海购FL”或者“xhg-fl”或者微信扫描右侧二维码都可以关注本站微信公众号。
