Relatório de Vulnerabilidade - Cross-Site Scripting (XSS) Stored no endpoint 'remuneracao.php' parâmetro 'descricao' #841
Assignees
Labels
Comments
lislovelly
changed the title
nilsonLazarin
assigned nilsonLazarin and GabrielPintoSouza and unassigned nilsonLazarin
GabrielPintoSouza
added a commit
that referenced
this issue
Dec 23, 2024
lislovelly
changed the title
|
A vulnerabilidade persiste: Payload injetado: <script>alert(1)</script>
|
|
@lislovelly vamos unificar as alterações das branches no início de janeiro. Os ajustes do @GabrielPintoSouza ainda estão na branch pre-master. Obrigado pela ajuda.
|
|
Bom dia! Vou aguardar unificar as alterações das branches. A aplicação não está permitindo trocar localmente. |
|
Olá @lislovelly, |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Visão geral da vulnerabilidade
Foi identificada uma vulnerabilidade de segurança na aplicação web WeGIA, no endpoint 'remuneracao.php', permitindo que um atacante injete scripts maliciosos. Os scripts injetados podem ser armazenados no servidor e são executados automaticamente sempre que a página afetada é acessada por um usuário.
Detalhes técnicos
A vulnerabilidade de XSS armazenado foi identificada em dois pontos:
Injeção de Payload:
Endpoint vulnerável: POST /html/funcionario/remuneracao.php
Parâmetro: descricao
Execução do XSS:
Endpoint de execução: POST html/funcionario/profile_funcionario.php?id_funcionario
Payload malicioso:
Prova de Conceito (PoC)
XSS armazenado no servidor:
Análise:
XSS Stored: O payload malicioso é armazenado no servidor, e é executado sempre que a página afetada é acessada, comprometendo a segurança de qualquer usuário que visualize o conteúdo malicioso.
Mapeamento OWASP Top 10:
A03:2021 – Injeção: A falta de validação e sanitização adequada das entradas do usuário permite a injeção de scripts maliciosos, possibilitando ataques de XSS armazenado.
The text was updated successfully, but these errors were encountered: