从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-51032 2. 描述:一个跨站脚本(XSS)漏洞存在于manage_recipient.php文件中,允许远程认证用户通过“owner”输入字段注入任意Web脚本。 3. 漏洞类型:跨站脚本(XSS) 4. 受影响的产品:Sourcecodester Toll Tax Management System 1.0 5. 受影响的组件:manage_recipient.php文件 6. 攻击向量: - 通过本地设置应用程序并使用默认管理员凭据登录。 - 导航到“用户列表”选项,找到名为cblake的普通用户,生成其密码并登录。 - 登出并以cblake用户身份登录。 - 转到“收件人”字段并创建新收件人。 - 在“owner”输入字段中注入payload ,并完成其余表单细节,然后点击“保存”按钮。 - 以管理员身份登录并转到收件人标签,可以看到cblake创建的条目,并且可以看到一个弹出的警报,打印出“admin”用户的会话cookie。 7. 参考链接: - - - 这些信息详细描述了漏洞的性质、影响范围以及如何利用漏洞进行攻击。