从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-10755 2. 漏洞类型:XSS(跨站脚本攻击) 3. 受影响项目:Online Shopping Portal 2.0 4. 漏洞描述:在 文件中, 变量可以被用户输入直接影响,导致构造的 标签被插入到HTML输出中,包括用户控制的部分,且没有进行任何净化。这允许攻击者注入任意的HTML或JavaScript代码,导致XSS攻击。 5. 漏洞代码: 6. 测试注入payload: 7. 执行结果:当浏览器解析这个payload时,会执行 代码,导致弹出显示“XSS”的窗口。 8. 演示: - 文件的示例截图。 - 添加payload后的URL截图。 - 提交URL后的XSS触发截图。 9. 预防建议:在渲染HTML之前,必须始终净化用户输入。可以使用PHP的 函数来编码特殊字符。 这些信息可以帮助开发者了解漏洞的性质、影响范围以及如何修复。