漏洞描述:
熊海CMS是一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统,熊海CMS存在存储型XSS漏洞,攻击者可利用该漏洞获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求
漏洞利用条件:
系统未对用户数据输入输出进行过滤以及校验
漏洞影响范围:
熊海CMS 熊海CMS v1.0
漏洞复现:
1.在管理员后台内容管理界面编辑文章标题处添加XSS payload,查看html发现payload被存储并且有弹窗出现:
2.漏洞出现原因:系统未对用户数据输入输出进行过滤以及校验
3.查看数据库,攻击语句被存入数据库:
修复建议:
1.保存数据库内容需要过滤
2.设置过滤器
学习记录过程,仅供参考!!!