安全问题：扫描结果的【编辑信息】处有存储型XSS漏洞

4x99 / code6

码小六 - GitHub 代码泄露监控系统

GNU General Public License v3.0

1.12k stars 201 forks source link

Closed ce-automne closed 2 years ago

ce-automne commented 2 years ago

登录码小六平台，在监控到的【扫描结果】里，分别选择【操作】>>【编辑信息】，填入如下XSS Payload:

<img src=1 onerror=alert(document.cookie)>，xss test

点击提交

随后访问【扫描结果】页面，将会触发存储型XSS漏洞，产生弹框。

执行Javascript脚本，攻击者能够以管理员或其他用户身份调用相关api接口

yoonper commented 2 years ago

感谢反馈！

yoonper commented 2 years ago

已修复，近期会发布新版本。