Web应用程序容易受到存储的XSS漏洞的攻击,但只有管理员用户可以访问控制台,并且可以插入数据或XSS有效负载。此外,该应用程序不容易受到CSRF和访问控制攻击的影响。
那是一个有效的安全漏洞吗?我应该解决这个问题吗?
提前致谢!
最佳答案
我认为这是一个有效的安全漏洞,尽管它降低了风险因素,因为只有授权用户才能放置xss有效负载。许多Web应用程序(如wp等)都允许特权帐户放置未经过滤的html内容,但是如果有多个管理员,则如果一个管理员可以利用xss来接管其他管理员,则这可能导致水平特权升级或接管。