https://blog.qife122.com/tags/%E8%BE%93%E5%85%A5%E5%87%80%E5%8C%96/ Recent content in 输入净化 on 办公AI智能小助手 Hugo zh-cn qife Tue, 09 Dec 2025 10:22:18 +0800 https://blog.qife122.com/p/revive-adserver-%E5%AD%98%E5%82%A8%E5%9E%8B%E8%84%9A%E6%9C%AC%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8D%E5%BD%93%E8%BE%93%E5%85%A5%E5%87%80%E5%8C%96%E5%AF%BC%E8%87%B4%E7%9A%84dos%E6%94%BB%E5%87%BB/ Tue, 09 Dec 2025 10:22:18 +0800 https://blog.qife122.com/p/revive-adserver-%E5%AD%98%E5%82%A8%E5%9E%8B%E8%84%9A%E6%9C%AC%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8D%E5%BD%93%E8%BE%93%E5%85%A5%E5%87%80%E5%8C%96%E5%AF%BC%E8%87%B4%E7%9A%84dos%E6%94%BB%E5%87%BB/ <h2 id="漏洞报告-3399218---设置中的输入净化不当可能导致dos">漏洞报告 #3399218 - 设置中的输入净化不当可能导致DoS</h2> <h3 id="漏洞概述">漏洞概述</h3> <p>我在 <code>account-settings-email.php</code> 中发现了一个输入净化/编码问题，攻击者可以控制并保存在 <code>email_fromName</code> 和 <code>email_fromCompany</code> 字段中的值会被持久化存储，随后在页面渲染时没有进行适当的输出编码。由于任意JavaScript代码可以被持久化并在访问者的浏览器中执行，攻击者可以运行脚本来破坏或替换页面界面——从而有效地使网站对受害者不可用（DOM层级的拒绝服务）。这是一个存储型/脚本注入漏洞，当向管理员或特权用户渲染时，具有很高的影响力。</p>