从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-10806 2. 漏洞类型:XSS(跨站脚本攻击) 3. 受影响的项目:Hospital Management System (HMS) 4.0 4. 漏洞描述: - 参数 $fdate 和 $tdate 接受用户输入并直接输出到页面,没有进行任何形式的验证或编码。 - 用户提交的 HTML 或 JavaScript 代码将被直接渲染到 HTML 输出中,执行任何嵌入的 JavaScript,允许攻击者注入任意 HTML 或 JavaScript 代码,导致 XSS 攻击。 5. 漏洞代码: 6. 测试注入payload: 7. 执行过程: - 当浏览器解析通过 POST 请求时,执行 代码,导致弹出框显示 "XSS"。 8. 演示: - 使用测试 HTML 文件 通过 POST 请求触发 XSS 弹窗。 - 在浏览器中打开 ,并提交表单。 - 在登录后,使用带有漏洞参数和 XSS 载荷的 POST 请求触发 XSS。 9. 推荐的预防措施: - 在渲染 HTML 之前始终对用户输入进行验证。 - 使用 PHP 函数如 htmlspecialchars() 对特殊字符进行编码。 这些信息可以帮助理解漏洞的性质、影响范围以及如何通过代码修改来防止 XSS 攻击。