Relatório de Vulnerabilidade - XSS refletido no endpoint 'editar_permissoes.php' parâmetro 'msg_c' #850
Assignees
Labels
Comments
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Descrição da vulnerabilidade
Uma vulnerabilidade de Reflected Cross-Site Scripting (XSS) foi identificada no endpoint 'editar_permissoes.php' . Essa falha permite que um invasor injete scripts maliciosos no contexto do navegador, potencialmente levando ao roubo de cookies, redirecionamento para sites maliciosos ou ações não autorizadas em nome do usuário.
Detalhes técnicos
Endpoint vulnerável: GET /html/geral/editar_permissoes.php
Parâmetro afetado: msg_c
Exploit Payload:
Descrição do ataque
Ao acessar a URL /html/geral/editar_permissoes.php?msg_c="><script>alert(document.cookie)</script>, o navegador executa o script injetado, exibindo um alerta contendo os cookies do usuário. Isso demonstra que o parâmetro msg_c não está devidamente limpo, permitindo a injeção arbitrária de código JavaScript.
Impacto da vulnerabilidade: Explorar essa vulnerabilidade com sucesso pode resultar em:
Seqüestro de sessão: Um invasor pode capturar cookies de sessão, concedendo acesso não autorizado à conta do usuário.
Phishing: redirecionando os usuários para sites maliciosos que imitam páginas legítimas para roubar credenciais.
Ações não autorizadas: Realizar operações indesejadas em nome do usuário sem o seu consentimento.
Prova de Conceito (PoC)
Referências
Folha de dicas de prevenção OWASP XSS: https://cheatsheetseries.owasp.org/cheatsheets/XSS_Prevention_Cheat_Sheet.html Folha de dicas da política de segurança de conteúdo
OWASP: https://cheatsheetseries.owasp.org/cheatsheets/Content_Security_Policy_Cheat_Sheet.html
The text was updated successfully, but these errors were encountered: