このウェブページのスクリーンショットから、以下の脆弱性に関する主要な情報が取得できます。 1. 脆弱性情報: - CVE ID:CVE-2024-8172 - 影響を受けるプロジェクト:QR Code Attendance System 1.0 - 公式サイト:https://www.sourcecodester.com/php/17242/qr-code-attendance-system-using-php-and-mysql-source-code.html - バージョン:1.0 - 関連コードファイル:delete-student.php - インジェクション対象パラメータ:student 2. 脆弱性説明: - 説明: パラメータはテスト用のXSSペイロード(%3cIMG%20%22%22%22%3e%3cSCRIPT%3ealert(%22XSS%22)%3c%2fSCRIPT%3e%22%3e)をエンコーディングしており、デコードされると、ウェブページ中にスクリプト をインジェクションしようとします。 - 影響:アプリケーションは入力のサニタイズや検証を適切に行っていないため、このスクリプトはユーザーのブラウザ上で実行され、XSS攻撃の要因となります。 3. 実演: - スクリーンショット:QR Code Attendance Systemのインターフェースと、学生を削除する操作を示しています。 - Burp Suiteによる実演:Burp Suiteを使用して のトラフィックをインターセプトし、XSSペイロードをインジェクションすることで脆弱性を検証しています。 4. 修正提案: - 修正方法:XSS攻撃を防ぐため、 パラメータに対するより厳格な入力検証とサニタイズを実装する必要があります。 これらの情報は、開発者が脆弱性の詳細を理解し、それに対応した修正措置を講じる際に役立ちます。