从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞类型:Cross-Site Scripting (XSS) 漏洞。 2. 漏洞标题:Reflected Cross Site Scripting (XSS)。 3. 日期:2024年10月19日。 4. 漏洞作者:Esquire。 5. 供应商主页:https://phpgurukul.com/。 6. 软件链接:https://phpgurukul.com/client-management-system-using-php-mysql/。 7. 版本:1.2。 8. 测试环境:Kali Linux。 9. CVE编号:CVE-2024-51209。 10. 描述:Client Management System 1.2 受到反射型跨站脚本攻击的攻击,因为可以在搜索输入字段中注入一个脚本标签。 11. PoC(Proof of Concept):通过以下步骤进行演示: - 访问 http://localhost/clientms/admin/search-invoices.php 或 http://localhost/clientms/client/search-invoices.php。 - 使用测试凭据登录:admin/Test@123 或者 client: abc@gmail.com/Test。 - 访问 http://localhost/clientms/admin/admin-profile.php。 - 在搜索输入字段中输入以下payload: 或 。 - 点击搜索按钮提交脚本。 - 如果Web应用程序易受攻击,将执行脚本并显示一个带有“XSS”或“1”消息的警报框。