当前位置: 首页 > news >正文

SIAKAD STEKOM登录页面存储型XSS漏洞分析

SIAKAD STEKOM - 存储型XSS漏洞(登录页面)

风险等级:

本地:

远程:

CVE:

CWE: CWE-79

Dork: site:siakad2 inurl:login

漏洞信息

漏洞标题: SIAKAD STEKOM - 页脚存储型XSS漏洞
日期: 2025-05-22
漏洞作者: 6ickzone (6ickzone@proton.me)
厂商主页: https://www.stekom.ac.id/
软件链接: https://siakad2.stekom.ac.id/loginsiakad/login
分类: Web应用
CVE:
CWE: CWE-79

漏洞描述

在SIAKAD STEKOM的登录页面(https://siakad2.stekom.ac.id/loginsiakad/login)发现了一个存储型XSS漏洞,具体存在于页脚文本输入字段。恶意JavaScript载荷可以被注入并存储,每次页面加载时都会执行,可能危及cookies或会话令牌。

受影响的参数

登录页面上的用户名字段(https://siakad2.stekom.ac.id/loginsiakad/login)

攻击载荷

概念验证载荷:

"><svg/onload=alert('XSS')>

影响范围

  • Cookie/会话劫持
  • 重定向到恶意网站
  • 对用户/管理员进行钓鱼攻击

修复建议

  • 对所有动态内容(页脚部分)应用输出编码
  • 在存储前对输入进行清理
  • 实施内容安全策略(CSP)

测试环境

  • Chrome v123
  • Firefox v120

参考链接: https://siakad2.stekom.ac.id/loginsiakad/login
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

http://www.hskmm.com/?act=detail&tid=37487

相关文章:

  • 2025 年最新散热片厂家推荐排行榜:权威评选揭晓高性能电子、水冷、铝型材等散热片优质企业水冷散热片/铝型材散热片/热管散热片/插齿散热片公司推荐
  • 07.Python法拍网数据
  • 深夜办公室的叹息,被微擎 IP 市场拉回正轨
  • Ubuntu布署Blazor Server
  • Day22-C:\Users\Lenovo\Desktop\note\code\JavaSE\Basic\src\com\File-FileTest1~4
  • 权威调研榜单:徐州CCC产品认证公共服务平台TOP3榜单好评深度解析
  • 权威调研榜单:搅拌灌装机厂家TOP3榜单好评深度解析
  • 本地部署低代码构建平台 Langflow 并实现外部访问
  • 2025 年最新弹力丝机生产厂家推荐榜单:全面盘点国内优质品牌,为纺织企业提供精准选型参考荣腾弹力丝机/普来得弹力丝机/高速弹力丝机公司推荐
  • 数据库锁-及事务隔离级别对应
  • 权威调研榜单:落地立式护眼灯厂家TOP3榜单好评深度解析
  • 为什么要学习PostgreSQL?新手怎么从入门到精通
  • 2025 年电动门实力厂家最新推荐排行榜:聚焦智能创新与多场景适配,精选优质品牌助力选购电动悬浮门/电动大门/电动平移门/小区电动门公司推荐
  • 进制基础及位运算
  • 2025年10月国内平开门厂家全景解析报告,基于专业测评的技术、性能及市场优势深度分析
  • 完整教程:【uniapp】uniapp+uview-ui+mixins实现搜索+上拉加载+加载动画功能:
  • 攻壳机动队 动画电影12部合集
  • 数字音频作曲软件-钢琴窗-网格数量计算公式
  • 基于梯度下降、随机梯度下降和牛顿法的逻辑回归MATLAB实现
  • 2025 年天津老味儿刨冰最新推荐榜:精选 5 家世代传承与新兴热门品牌,附品质选择指南
  • 2025 年最新推荐智能门锁厂家榜单:涵盖高端 / 猫眼 / 家用 / 人脸 / 续航 / 掌静脉等多类型,帮消费者避开劣质产品选到靠谱品牌
  • 2025 年断路器厂家最新推荐排行榜权威发布!涵盖远程控制 / 物联网 / 漏电 / 无线遥控 / 远程监控类型,优质品牌助采购精准决策
  • RTX5060TI 配置Xinference
  • 超越“系统性沉默”:“AI元人文”构想下的价值范式转换与游戏化探索
  • 通信协议(Http,websocket)
  • 详细介绍:go语言学习记录9.23
  • 动车受电弓网检测系统 保障高速铁路安全高效运行
  • P13382 解题报告
  • 我最常用的快捷键
  • Semgrep代码审计工具的使用