600美元赏金：Jira服务台报告中的存储型XSS漏洞

引言

跨站脚本（XSS）漏洞即使在最强大的企业产品中也不断出现。本报告重点介绍了Atlassian Jira服务管理中的一个存储型XSS漏洞，该漏洞允许未经身份验证的用户通过公共服务台小部件注入恶意JavaScript代码，随后在管理员上下文中执行。

在本报告中，我们将讨论：

• 该漏洞的具体情况
• 研究人员如何发现和利用该漏洞
• 对管理员造成的影响
• 如何在基于小部件的产品中测试类似的存储型XSS漏洞

漏洞类型

存储型跨站脚本（XSS） - 从未经身份验证用户到管理员

类别：Web应用程序 VRT分类：跨站脚本 > 存储型 > 非特权用户到任何人

当未转义的输入存储在服务器上，随后以不安全的方式在Web应用程序中呈现时，就会发生此漏洞…

创建帐户以阅读完整故事。作者仅向Medium会员提供此故事。如果您是Medium的新用户，请创建一个新帐户来阅读此故事。