Closed ce-automne closed 2 years ago
登录码小六平台,在监控到的【扫描结果】里,分别选择 【操作】>>【编辑信息】,填入如下XSS Payload:
<img src=1 onerror=alert(document.cookie)>,xss test
点击提交
随后访问【扫描结果】页面,将会触发存储型XSS漏洞,产生弹框。
执行Javascript脚本,攻击者能够以管理员或其他用户身份调用相关api接口
感谢反馈!
已修复,近期会发布新版本。
漏洞复现
登录码小六平台,在监控到的【扫描结果】里,分别选择 【操作】>>【编辑信息】,填入如下XSS Payload:
点击提交
随后访问【扫描结果】页面,将会触发存储型XSS漏洞,产生弹框。
漏洞影响
执行Javascript脚本,攻击者能够以管理员或其他用户身份调用相关api接口