SIAKAD STEKOM - 存储型XSS漏洞(登录页面)
风险等级: 低
本地: 否
远程: 是
CVE: 无
CWE: CWE-79
Dork: site:siakad2 inurl:login
漏洞信息
漏洞标题: SIAKAD STEKOM - 页脚存储型XSS漏洞
日期: 2025-05-22
漏洞作者: 6ickzone (6ickzone@proton.me)
厂商主页: https://www.stekom.ac.id/
软件链接: https://siakad2.stekom.ac.id/loginsiakad/login
分类: Web应用
CVE: 无
CWE: CWE-79
漏洞描述
在SIAKAD STEKOM的登录页面(https://siakad2.stekom.ac.id/loginsiakad/login)发现了一个存储型XSS漏洞,具体存在于页脚文本输入字段。恶意JavaScript载荷可以被注入并存储,每次页面加载时都会执行,可能危及cookies或会话令牌。
受影响的参数
登录页面上的用户名字段(https://siakad2.stekom.ac.id/loginsiakad/login)
攻击载荷
概念验证载荷:
"><svg/onload=alert('XSS')>
影响范围
- Cookie/会话劫持
- 重定向到恶意网站
- 对用户/管理员进行钓鱼攻击
修复建议
- 对所有动态内容(页脚部分)应用输出编码
- 在存储前对输入进行清理
- 实施内容安全策略(CSP)
测试环境
- Chrome v123
- Firefox v120
参考链接: https://siakad2.stekom.ac.id/loginsiakad/login
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
同机 异机备份到 MinIO(Java 实现 干货直给))
