从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-10744 2. 漏洞类型:XSS(跨站脚本)漏洞 3. 受影响项目:Online Shopping Portal 2.0 4. 漏洞描述: - 问题出现在 变量中,该变量可以被用户输入直接影响,导致构造的 标签被插入到HTML输出中,包括用户控制的部分在 属性中,没有进行任何净化。 - 这允许攻击者注入任意的HTML或JavaScript代码,导致XSS攻击。 5. 漏洞代码示例: 6. 测试注入payload: - 需要将 参数设置为编码的URL payload以使其生效。 - 示例payload: 7. 执行结果: - 浏览器解析后执行 代码,导致弹出显示“XSS”。 8. 演示: - 展示了 文件的代码片段。 - 示例payload的URL: - 提交带有payload的URL后,XSS被触发。 9. 防止XSS的建议: - 必须始终在渲染HTML之前净化用户输入。 - 可以使用PHP中的 函数来编码特殊字符。 这些信息详细描述了XSS漏洞的性质、影响、代码示例、测试方法、执行结果以及防止措施。