SIAKAD STEKOM登录页面存储型XSS漏洞分析

本文详细分析了SIAKAD STEKOM系统登录页面存在的存储型XSS安全漏洞,包括漏洞原理、攻击载荷、潜在危害和修复建议,涉及CWE-79跨站脚本漏洞技术细节。

SIAKAD STEKOM - 存储型XSS漏洞(登录页面)

风险等级:本地:远程:CVE:CWE: CWE-79 搜索关键字: site:siakad2 inurl:login

漏洞详情

漏洞标题: SIAKAD STEKOM - 页脚存储型XSS漏洞 发现日期: 2025-05-22 漏洞作者: 6ickzone (6ickzone@proton.me) 厂商主页: https://www.stekom.ac.id/ 软件链接: https://siakad2.stekom.ac.id/loginsiakad/login 分类: Web应用程序 CVE:CWE: CWE-79

漏洞描述

在SIAKAD STEKOM的登录页面(https://siakad2.stekom.ac.id/loginsiakad/login)发现了一个存储型XSS漏洞,具体位于页脚文本输入区域。攻击者可以注入并存储恶意的JavaScript载荷,这些载荷将在每次页面加载时执行,可能危及cookies或会话令牌。

受影响的参数

登录页面上的用户名字段(https://siakad2.stekom.ac.id/loginsiakad/login)

攻击载荷

概念验证载荷:

1

"><svg/onload=alert('XSS')>

影响范围

  • Cookie/会话劫持
  • 重定向到恶意网站
  • 对用户/管理员进行钓鱼攻击

修复建议

  • 对所有动态内容(页脚部分)应用输出编码
  • 在存储前对输入进行清理
  • 实施内容安全策略(CSP)

测试环境

  • Chrome v123
  • Firefox v120

参考链接: https://siakad2.stekom.ac.id/loginsiakad/login

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次