当前位置: 首页 > news >正文

Insightly模板页面存储型XSS漏洞分析与复现

Insightly存储型XSS漏洞报告(#1392262)

漏洞概述

在Insightly的模板页面中,LINK名称参数未进行适当的转义处理,导致存在存储型跨站脚本(XSS)漏洞。由于缺乏输入净化措施,攻击者可通过构造特殊载荷突破<script>标签限制执行任意JavaScript代码。

漏洞复现步骤

  1. 登录Insightly账户(https://marketing.na1.insightly.com/)
  2. 点击加号图标 → 创建新的重定向链接
  3. 在链接名称字段输入Payload:"></script><img src=x onerror=alert(1)>{{'7'*7}}
  4. 填写其他必填字段后保存
  5. 进入电子邮件图标 → 邮件模板 → 新建邮件模板
  6. 填写模板详情后保存,XSS载荷将在页面加载时自动执行

漏洞原理

该漏洞源于LINK名称值在嵌入<script>标签时未进行HTML编码处理,使得攻击者可通过闭合原有脚本标签注入恶意代码。当用户访问包含恶意链接的模板页面时,XSS载荷将在组织内所有用户的浏览器环境中执行。

影响范围

  • 窃取用户会话Cookie
  • 以受害者身份执行任意操作
  • 实施网络钓鱼攻击
  • 影响所有访问受影响页面的组织用户

时间线

  • 2021年11月5日:漏洞首次报告
  • 2022年11月17日:漏洞确认并进入修复流程
  • 2024年6月8日:复测确认漏洞已修复
  • 2025年8月21日:漏洞状态标记为"已解决"

附件资料

  • 视频复现记录(bandicam_2021-11-05_15-31-27-702.mp4)
  • 漏洞截图证据(Screenshot_(2031).png)

漏洞最终通过输入净化措施得到修复,复测确认防护方案有效。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

http://www.hskmm.com/?act=detail&tid=19280

相关文章:

  • 记录 | 关于陪伴型交互AI的一些探讨
  • 课后作业
  • luogu P1719 最大加权矩形
  • CF2065D Skibidus and Sigma
  • 微信二次开发个人号api
  • 课后作业2(动手动脑,课后实验性问题)
  • 从零开始构建图注意力网络:GAT算法原理与数值实现详解
  • 关于Leetcode 812题的简单思考
  • Laravel5.8 利用 snappyPDF 生成PDF文件
  • 25秋周总结4
  • Python 潮流周刊#121:工程师如何做出高效决策?
  • 饥荒联机版
  • iSCSI网络存储——基于VM17下麒麟V10SP1与SP2的共享配置
  • 微信二次开发文档
  • CSP-S1 2025
  • 金币
  • 课后作业2
  • 加密货币技术革命:揭秘数字复兴时代
  • 详细介绍:CTFshow系列——PHP特性Web113-115(123)
  • 第六篇
  • 6378:删除数组中的元素(链表)
  • DiffDock 环境安装和启用教程
  • [题解]P11533 [NOISG 2023 Finals] Topical
  • day20_修改 删除功能
  • [题解]P10231 [COCI 2023/2024 #4] Putovanje
  • # Windows CMD 基本指令参考手册
  • P13019 [GESP202506 八级] 树上旅行
  • 完整教程:负载均衡式的在线OJ项目编写(二)
  • Java语法基础课程动手动脑及课后实验问题整理文档
  • 安装包制作流程-final