从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-51031 2. 描述:一个跨站脚本(XSS)漏洞存在于manage_account.php文件中,允许远程已认证用户通过“First Name”、“Middle Name”和“Last Name”字段注入任意Web脚本。 3. 漏洞类型:跨站脚本(XSS) 4. 受影响的产品:Sourcecodester Cab Management System 1.0 5. 受影响的代码库:https://www.sourcecodester.com/php/15180/cab-management-system-phpoop-free-source-code.html - 1.0 6. 受影响的组件:manage_account.php页面上的“firstname”、“middlename”和“lastname”输入字段。 7. 攻击向量: - 1. 在本地设置应用程序并使用提供的凭据登录以获取样本客户端访问权限。 - 2. 导航到“管理账户”部分,通过点击个人头像。 - 3. 将payload 注入到“First Name”、“Middle Name”和“Last Name”字段中。完成其余表单细节并点击“更新详细信息”按钮。 - 4. 接收“账户详细信息已成功更新”消息后,登录到管理员门户。当访问“已注册客户”页面时,会弹出显示管理员cookie的窗口,确认成功执行了存储的跨站脚本(XSS)攻击。 8. 参考: - https://www.sourcecodester.com - https://www.sourcecodester.com/php/15180/cab-management-system-phpoop-free-source-code.html - https://portswigger.net/web-security/cross-site-scripting