关于禅道18.7开源版系统的XSS漏洞及解决方案

作者: lhlaishui 分类: 成长之路 发布时间: 2023-10-12 11:01

在日常的安全类测试用例检查过程中,发现禅道18.7开源版系统竟然存在着安全漏洞已及时反馈给禅道团队,希望能及时的讲该漏洞。

漏洞截图如下:

image.png

XSS漏洞
XSS漏洞是指黑客可以通过在网页中注入脚本,从而实现对网站的攻击。在禅道系统中,用户通过访问测试用例触发该漏洞,由此证明存在着XSS存储型漏洞。


原理

被保存到服务器上,显示到HTML页面中,经常出现在用户评论的页面,攻击者将XSS代码保存到数据库中,当用户在此访问这个页面时,就会触发并执行XSS代码,窃取用户的敏感信息。


特点

危害性最大:持久的保存在服务器上
持久型XSS
js代码不在某个参数中,而是被写进了数据库或文件可以永久保存数据的介质中,如留言板等。

数据流量走向:浏览器—>后端—>数据库—>后端—>浏览器

小海购FL内容已经被部分隐藏,请输入验证码查看全部内容
验证码:
请关注本站微信公众号,回复“验证码”,获取验证码。在微信里搜索“小海购FL”或者“xhg-fl”或者微信扫描右侧二维码都可以关注本站微信公众号。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注