从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-46077 2. 描述:itsourcecode Online Tours and Travels Management System v1.0 是通过 val-username、val-email、val-suggestions、val-digits 和 state_name 参数在 travellers.php 中的构造payload来利用Cross Site Scripting (XSS)漏洞的。 3. 漏洞类型:Cross Site Scripting (XSS) 4. 受影响的产品:https://itsourcecode.com/free-projects/php-project/online-tours-and-travels-management-system-project-in-php-and-mysql/ - 1.0 5. 受影响的组件:Online Tour and Travel Management System v1.0 6. 攻击向量: - 导航到 http://localhost/travels-source-code/code/admin/operations/travellers.php - 填充所需数据。 - 在burp suite中捕获请求。 - 将易受攻击的参数值替换为以下payload: - 前往请求。 - 现在可以在浏览器中观察到JavaScript的执行。 7. 参考:http://localhost/travels-source-code/code/admin/operations/travellers.php 8. 发现者:Nishar Shah