SIAKAD STEKOM登录页面存储型XSS漏洞分析

SIAKAD STEKOM - 存储型XSS漏洞(登录页面)

风险等级:

本地:

远程:

CVE:

CWE: CWE-79

Dork: site:siakad2 inurl:login

漏洞信息

漏洞标题: SIAKAD STEKOM - 页脚存储型XSS漏洞
日期: 2025-05-22
漏洞作者: 6ickzone (6ickzone@proton.me)
厂商主页: https://www.stekom.ac.id/
软件链接: https://siakad2.stekom.ac.id/loginsiakad/login
分类: Web应用
CVE:
CWE: CWE-79

漏洞描述

在SIAKAD STEKOM的登录页面(https://siakad2.stekom.ac.id/loginsiakad/login)发现了一个存储型XSS漏洞,具体存在于页脚文本输入字段。恶意JavaScript载荷可以被注入并存储,每次页面加载时都会执行,可能危及cookies或会话令牌。

受影响的参数

登录页面上的用户名字段(https://siakad2.stekom.ac.id/loginsiakad/login)

攻击载荷

概念验证载荷:

"><svg/onload=alert('XSS')>

影响范围

  • Cookie/会话劫持
  • 重定向到恶意网站
  • 对用户/管理员进行钓鱼攻击

修复建议

  • 对所有动态内容(页脚部分)应用输出编码
  • 在存储前对输入进行清理
  • 实施内容安全策略(CSP)

测试环境

  • Chrome v123
  • Firefox v120

参考链接: https://siakad2.stekom.ac.id/loginsiakad/login
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

posted @ 2025-10-23 17:24  qife  阅读(3)  评论(0)    收藏  举报