关键信息提取 1. 任意文件上传漏洞 代码位置: 213到228行 描述: 存在任意文件上传漏洞,通过HTTP请求可以上传并访问恶意文件,如 ,能够执行任意PHP代码。 2. 创建问题处标题存在存储型XSS漏洞 Payload: 描述: 在创建问题时,通过在标题中插入恶意的XSS脚本,可以触发存储型XSS漏洞。 3. 问题详情页面多处存在XSS代码 描述: 在问题详情页面中,多个地方存在XSS漏洞。攻击者可以通过篡改标题或其他参数,插入恶意脚本,触发XSS攻击。 代码示例: 问题: 虽然后端对 参数进行了过滤,但前端仍存在XSS漏洞风险。 4. 后台创建问题时存在XSS漏洞 HTTP请求: 描述: 在后台创建问题时,通过插入恶意脚本,能够触发XSS攻击。 5. 后台设置页面存在XSS漏洞 描述: 在后台设置页面中,插入XSS代码后,前后台每个页面都会触发XSS攻击。 总结 此页面截图显示了JNOJ项目中存在多种安全漏洞,主要包括: 任意文件上传漏洞 存储型XSS漏洞 问题详情页面中的XSS漏洞 后台创建问题和设置页面中的XSS漏洞 这些漏洞可能导致未经授权的文件上传、代码执行和跨站脚本攻击,严重威胁系统安全。