从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞编号:CVE-2024-8172 - 受影响项目:QR Code Attendance System 1.0 - 官方网站:https://www.sourcecodester.com/php/17242/qr-code-attendance-system-using-php-and-mysql-source-code.html - 版本:1.0 - 相关代码文件:delete-student.php - 注入参数:student 2. 漏洞描述: - 描述:student参数对测试的XSSpayload(%3cIMG%20%22%22%22%3e%3cSCRIPT%3ealert(%22XSS%22)%3c%2fSCRIPT%3e%22%3e)进行编码,当解码时,它试图在网页中注入一个脚本:<IMG ""><SCRIPT>alert("XSS")</SCRIPT>>。 - 影响:应用程序没有正确地对输入进行清理或验证,该脚本可以在用户的浏览器中执行,导致XSS攻击。 3. 演示: - 截图:展示了QR Code Attendance System的界面,以及如何删除学生。 - Burp Suite演示:使用Burp Suite拦截delete-student.php的流量,并注入XSS payload,验证漏洞。 4. 修复建议: - 修复方法:需要对student参数进行更严格的输入验证和清理,以防止XSS攻击。 这些信息可以帮助开发者了解漏洞的详细情况,并采取相应的措施来修复它。