内部测试发现漏洞：KYC表单地址字段中的存储型XSS攻击

当地址字段变成XSS漏洞赏金

那只是一个普通的周二，我正在对我们的交易平台进行内部测试，却意外发现了一些不寻常的事情。我正在为一个测试用户填写KYC表格——你知道的，就是那些常规的姓名、地址、身份证号码——我突然想到：“如果我在地址字段中输入一些HTML或脚本会怎样？“令我惊讶的是，应用程序竟然接受了这些输入！

后来，当我查看该用户的个人资料时，我输入的隐藏测试脚本弹出了一个警告框。我发现了地址字段中存在存储型跨站脚本（XSS）漏洞。

这个发现让我深刻意识到输入验证为何如此重要。简单来说，输入验证意味着在应用程序中使用用户提供的数据之前对其进行检查。这通常被称为安全开发中的"第一道防线”。通过验证输入（例如，确保地址字段只包含正常字符而不包含HTML标签），我们可以防止恶意代码被注入到我们的系统中。

OWASP安全编码指南甚至建议使用白名单方法（允许列表）来定义良好的输入应该是什么样子，而不是试图阻止不良输入，因为攻击者通常可以绕过这种阻止方式。简而言之，当我们没有正确验证输入时，我们就为各种攻击留下了可乘之机…

本文发表于InfoSec Write-ups 65K关注者·最后发布于4天前 收集了来自世界顶级黑客的写作，主题涵盖漏洞赏金、CTF比赛、vulnhub机器、硬件挑战和真实遭遇。订阅我们的每周通讯获取最酷的信息安全更新：https://weekly.infosecwriteups.com/

作者：Yamini Yadav 77关注者·29正在关注 Radhe Radhe | 渗透测试员 | 漏洞猎人 | 寻找漏洞并保护网络安全。这不是我与他人对抗，而是我与自己的对抗。✨️🧿🦢🦋📚📸