Web Application XSS in Profile Parameter Vulnerability

漏洞信息

漏洞名称: Web Application XSS in Profile Parameter Vulnerability

漏洞类型: 跨站可执行脚本

漏洞等级: 中危

漏洞描述: 该漏洞针对的是Web应用中的’profile’参数,存在跨站脚本(XSS)漏洞。XSS漏洞允许攻击者在受害者的浏览器中执行恶意脚本,这通常是由于应用对用户输入的不当过滤或转义导致的。具体到本漏洞,攻击者可以通过向’profile’参数注入恶意脚本(如)来触发XSS攻击。这种漏洞的利用可以导致会话劫持、钓鱼攻击或其他恶意活动,而无需用户认证,且可以自动化利用。受影响的Web应用广泛部署于互联网上,特别是在需要用户输入和交互的场景中,如社交网络、论坛和内容管理系统等。由于XSS漏洞的普遍性和潜在的高危害性,开发人员应当对所有用户输入进行严格的验证和适当的转义,以防止此类攻击的发生。

产品名称: Web Application

来源: https://github.com/projectdiscovery/nuclei-templates/blob/6e575e53e67edec1b858f00d9e02cf4a5bd75595/xss-profile-parameter.yaml

类型: projectdiscovery/nuclei-templates:github issues

POC详情

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

id: xss-profile-parameter

info:
  name: XSS in Profile Parameter
  author: ProjectDiscoveryAI
  severity: medium
  description: |
    Detects potential XSS vulnerabilities in the 'profile' parameter of a web application.
    This template injects XSS payloads into the parameter and checks for script execution.
  tags: xss,fuzzing

http:
  - method: GET
    path:
      - "{{BaseURL}}/?profile=<script>alert(1)</script>"

    matchers-condition: and
    matchers:
      - type: word
        words:
          - "<script>alert(1)</script>"
        part: body
      - type: word
        words:
          - "text/html"
        part: header

Github Poc
#projectdiscovery/nuclei-templates:github issues #跨站可执行脚本
Web Application XSS in Profile Parameter Vulnerability
http://example.com/2025/07/11/github_4054638430/
作者
lianccc
发布于
2025年7月11日
许可协议