在日常的安全类测试用例检查过程中，发现禅道18.7开源版系统竟然存在着安全漏洞已及时反馈给禅道团队，希望能及时的讲该漏洞。

漏洞截图如下：

XSS漏洞
XSS漏洞是指黑客可以通过在网页中注入脚本，从而实现对网站的攻击。在禅道系统中，用户通过访问测试用例触发该漏洞，由此证明存在着XSS存储型漏洞。

原理

被保存到服务器上，显示到HTML页面中，经常出现在用户评论的页面，攻击者将XSS代码保存到数据库中，当用户在此访问这个页面时，就会触发并执行XSS代码，窃取用户的敏感信息。

特点

危害性最大：持久的保存在服务器上
持久型XSS
js代码不在某个参数中，而是被写进了数据库或文件可以永久保存数据的介质中，如留言板等。

数据流量走向：浏览器—>后端—>数据库—>后端—>浏览器