WEB安全之XSS专题：前沿案例与实战分析

大家好，你们可以叫我凌，是个16岁的网络安全学习者。

前面我们已经将XSS的内容全部讲完了（没有看的可以回头去看看），那么今天我们来看看几个前沿案例，以进一步加深理解吧！

---

近年 CVE 深度分析（2023-2026）

CVE-2026-25896：fast-xml-parser 正则注入绕过实体编码

漏洞描述

fast-xml-parser 是一个流行的 npm 库，用于解析 XML。在 5.3.5 版本之前，由于 DOCTYPE 实体名称中的点号（.）被直接用于构造正则表达式，攻击者可以创建名为 l. 的实体，其生成的 /&l.;/g 正则中的点号会匹配任意字符，从而遮蔽内置的 < 实体。利用同样的方法，可以遮蔽 >、&、"、' 五个关键实体。当应用程序将解析后的 XML 内容渲染到页面时，原本被编码的 HTML 特殊字符还原为原始字符，导致 XSS 攻击。

利用关键

<!DOCTYPE foo [
  <!ENTITY l. "<img src=x onerror=alert(1)>">
]>

解析后，原本的 < 被替换为攻击者的实体值，最终执行恶意脚本。

修复方案

升级到 fast-xml-parser 5.3.5 或更高版本，该版本对实体名称中的正则元字符进行了转义处理。

CVE-2026-27147：GetSimple CMS SVG 上传存储型 XSS

漏洞描述

GetSimple CMS 的所有版本均存在 SVG 文件上传 XSS 漏洞。经过身份验证的用户可通过管理后台上传包含恶意 JavaScript 的 SVG 文件，由于未对 SVG 内容进行消毒或限制，当其他用户访问该文件时，脚本在浏览器中执行。该漏洞目前尚无修复补丁。

利用关键

上传的 SVG 文件中包含：

<svg xmlns="http://www.w3.org/2000/svg" onload="alert(1)"/>

或嵌入 <script> 标签。

修复方案

暂无官方修复。建议：禁用 SVG 文件上传功能，或在上传时对 SVG 内容进行严格消毒（如移除 <script>、onload 等事件属性）。

CVE-2025-59525：Horilla HRMS SVG 上传链式利用致管理员接管

漏洞描述

Horilla 是一个开源人力资源管理系统。1.4.0 版本之前，应用存在多处消毒不严，允许通过上传 SVG 文件（以及允许的 <embed> 标签）进行 XSS 攻击。当用户查看受影响的内容（如公告）时，恶意脚本执行。攻击者可进一步利用该漏洞接管管理员账户。

利用关键

上传包含恶意脚本的 SVG 文件，当管理员查看公告时脚本执行，窃取会话或发起 CSRF 请求修改管理员密码。

**修复方案：**升级到 Horilla 1.4.0 或更高版本。

CVE-2024-49038：Microsoft Copilot Studio XSS 致权限提升

漏洞描述

2024 年 11 月，Microsoft 修复了 Copilot Studio 中的一个严重 XSS 漏洞。由于在页面生成过程中对用户可控输入的过滤不充分，远程攻击者可注入恶意脚本，在受害者浏览器中执行，最终实现权限提升。该漏洞的 CVSS 评分为 9.3（严重）。

利用关键

攻击者通过构造特殊输入，注入到页面中，当管理员或其他用户访问时执行脚本，获得更高权限。

修复方案

Microsoft 已发布修复，用户无需额外操作。

CVE-2023-54332：WordPress Jetpack 联系表单 XSS

漏洞描述

WordPress 的 Jetpack 插件 11.4 版本中，联系表单模块存在 XSS 漏洞。攻击者可通过 post_id 参数构造恶意 URL，当用户与联系表单页面交互时，脚本在受害者浏览器中执行。

利用关键

https://example.com/contact?post_id=\<script>alert(1)</script>

如果参数值未过滤直接回显，则触发 XSS。

修复方案

升级到 Jetpack 11.4 以上版本。

CVE-2024-44647：Small CRM 工单管理 XSS

漏洞描述

Small CRM 是一套客户关系管理系统。其 manage-tickets.php 文件中的 aremark 参数未对用户输入进行有效过滤与转义，攻击者可利用该参数注入任意 Web 脚本或 HTML。

利用关键

https://example.com/manage-tickets.php?aremark=\<script>alert(1)</script>

参数值直接回显导致反射型 XSS。

修复方案

暂无官方修复。建议对 aremark 参数进行 HTML 实体编码后输出。

CVE-2025-61623：Apache OFBiz XSS

漏洞描述

Apache OFBiz（企业资源计划系统）存在 XSS 漏洞，由于 Web 页面生成时对输入过滤不正确，远程攻击者可利用该漏洞获取敏感信息或劫持用户会话。

利用关键

攻击者通过构造恶意输入，注入到页面中，当用户访问时执行脚本，窃取会话或敏感信息。

修复方案

升级到 OFBiz 24.09.03 或更高版本。

CVE-2024-13486：WordPress Icegram Engage 存储型 XSS 致 JS 后门

漏洞描述

WordPress 的 Icegram Engage 插件（用于创建弹窗和表单）存在存储型 XSS 漏洞。在"Custom Code"部分的"CSS"字段中，未对用户输入进行充分消毒，攻击者可注入 JavaScript 代码。当管理员预览弹窗时，恶意代码执行，攻击者可以利用该漏洞创建 JS 后门，最终接管管理员账户。

利用关键

在 CSS 字段中输入[html]：

</style><img src=x onerror=alert(1)>

当管理员预览时，脚本执行。

修复方案

升级到 Icegram Engage 3.1.32 或更高版本。

CVE-2026-25868：MiniGal Nano 反射型 XSS

漏洞描述

MiniGal Nano 0.3.5 及更早版本中存在反射型 XSS 漏洞，位于 index.php 的 dir 参数。应用程序将用户控制的输入拼接到错误消息中，未进行输出编码，攻击者可注入任意 HTML/JavaScript。

利用关键

https://example.com/index.php?dir=\<script>alert(1)</script>

当参数值被回显到错误页面时触发 XSS

修复方案

暂无官方修复。建议对 dir 参数进行严格过滤和输出编码。

主流平台 SRC 报告分析（2024-2025）

案例：某电商平台搜索框反射型 XSS（2024）

报告摘要

漏洞存在于商品搜索功能中，参数 q 的值被直接回显到页面标题中，且未作任何过滤。攻击者可利用 <script> 标签或事件处理器注入恶意脚本。

挖掘过程

1. 访问 https://example.com/search?q=test，发现页面标题显示"搜索 test 的结果"。

2. 查看源码，发现 test 被原样插入 <title> 标签中。

3. 提交 Payload test'"><script>alert(1)</script>，页面弹窗。

修复方案

**·**对输出到 <title> 的内容进行 HTML 实体编码。

**·**统一使用模板引擎的自动转义功能。

案例：某社交平台评论区存储型 XSS（2025）

报告摘要

攻击者在评论中提交 < img src=x οnerrοr=alert(1)>，提交后立即查看评论发现弹窗。进一步构造窃取 Cookie 的 Payload，成功收到受害者的会话凭证。

修复方案

· 后端对评论内容进行 HTML 实体编码后再存储。

**·**前端渲染时使用 textContent 而非 innerHTML。

**·**设置 Cookie 为 HttpOnly。

XSS 挑战赛经典题解

（此部分内容与之前相同，保留经典题目）

alert(1) to win

Level 1：" οnerrοr="alert(1)

Level 2：</textarea><script>alert(1)</script>

Level 3：--!><script>alert(1)</script>

Google XSS 游戏

Level 4：

" onerror="alert(1)

Level 5：

</script><script>alert(1)</script>

prompt.ml

Level 3：

");alert(1)//

Level 5：

</style><script>alert(1)</script>

Level 10：

" onfocus="alert(1)" autofocus

XSS 漏洞赏金实战技巧

（此部分内容与之前相同，保留）

**·**Param Miner：自动发现隐藏参数

**·**waybackurls / gau：获取历史 URL

**·**Semgrep / CodeQL：静态分析检测危险函数

**·**Burp Bambda 过滤器筛选反射参数

**·**自动化 + 手工验证流程

XSS 与浏览器补丁分析

（此部分内容与之前相同，保留）

**·**Chrome 修复 XSS Auditor 绕过（CVE-2021-21224）：移除了对 UTF-7 等危险编码的支持。

**·**Firefox 修复 XSS 过滤器绕过：修复了特定情况下被 <! 注释绕过的问题。

XSS 在红队渗透中的利用链

（此部分内容与之前相同，保留）

发现 XSS → Hook 浏览器 → 窃取信息 → 内网扫描 → 横向移动 → 权限提升