## title: Webigniter V28.7.23 XSS
##作者: Redteamer IT安全性,Mesut Cetin
## date: 09/04/2023
## Vendor: https://webigniter.net/
## Software: https://webigniter.net/demo
##参考: https://portswigger.net/web-security/cross-site-scripting/stored
## Description:
在用户创建过程中,“ your_name”参数无法充分验证用户输入,从而使系统容易受到反映的跨站点脚本(XSS)攻击。
## POC
为了利用此漏洞,攻击者可以在用户创建过程中的3https://webigniter.net/create-account下的“ your_name”参数中注入恶意JavaScript代码。当用户在其配置文件下导航到'用户'页面时,可以执行此代码时,可以执行此代码,例如This: IMG Src onError='strip(8)'时,可以执行此代码。
##缓解
为了减轻这种风险,应对“ your_name”参数进行严格的输入验证和编码,以确保对所有用户输入进行消毒并施加无害。
##作者: Redteamer IT安全性,Mesut Cetin
## date: 09/04/2023
## Vendor: https://webigniter.net/
## Software: https://webigniter.net/demo
##参考: https://portswigger.net/web-security/cross-site-scripting/stored
## Description:
在用户创建过程中,“ your_name”参数无法充分验证用户输入,从而使系统容易受到反映的跨站点脚本(XSS)攻击。
## POC
为了利用此漏洞,攻击者可以在用户创建过程中的3https://webigniter.net/create-account下的“ your_name”参数中注入恶意JavaScript代码。当用户在其配置文件下导航到'用户'页面时,可以执行此代码时,可以执行此代码,例如This: IMG Src onError='strip(8)'时,可以执行此代码。
##缓解
为了减轻这种风险,应对“ your_name”参数进行严格的输入验证和编码,以确保对所有用户输入进行消毒并施加无害。