Profile Parameter XSS Vulnerability

漏洞信息

漏洞名称: Profile Parameter XSS Vulnerability

漏洞类型: 跨站可执行脚本

漏洞等级: 中危

漏洞描述: 该漏洞涉及在profile参数中检测潜在的跨站脚本(XSS)漏洞。通过注入测试载荷并观察响应中的反射,可以识别出这一漏洞。XSS漏洞允许攻击者在受害者的浏览器中执行恶意脚本,这可能导致会话劫持、钓鱼攻击或其他恶意活动。这种漏洞的存在通常是因为应用程序未对用户输入进行适当的清理或编码,使得恶意脚本能够被注入并执行。由于XSS漏洞的利用不需要认证,且可以自动化执行,因此它们对网站的安全性构成了显著的威胁。攻击者可以利用这一漏洞窃取用户的敏感信息,如登录凭证,或者进行其他形式的网络攻击。为了保护网站和用户的安全,开发人员应当对所有用户输入进行严格的验证和清理,以防止XSS攻击的发生。

来源: https://github.com/projectdiscovery/nuclei-templates/blob/d8734e06c993fa5e59a0615cef1b3c5769a52252/xss-profile-parameter.yaml

类型: projectdiscovery/nuclei-templates:github issues

POC详情

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

id: xss-profile-parameter

info:
  name: XSS Detection in Profile Parameter
  author: ProjectDiscoveryAI
  severity: medium
  description: |
    Detects potential XSS vulnerabilities in the `profile` parameter by injecting test payloads and observing reflections in the response.
  tags: xss,dast

http:
  - method: GET
    path:
      - "{{BaseURL}}/?profile=\"><script>alert(1)</script>"

    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - "<script>alert(1)</script>"

      - type: word
        part: header
        words:
          - "text/html"

Github Poc
#projectdiscovery/nuclei-templates:github issues #跨站可执行脚本
Profile Parameter XSS Vulnerability
http://example.com/2025/07/23/github_548627909/
作者
lianccc
发布于
2025年7月23日
许可协议