关键信息总结 受影响的产品 产品名称: Code-projects School Fees Payment System V1.0 受影响文件: /student.php 版本: V1.0 漏洞类型 类型: 存储型跨站脚本(Stored Cross-Site Scripting) 根因 在/student.php页面中,用户输入的恶意代码未被正确过滤和转义,导致攻击者可以通过提交恶意数据来执行任意HTML或JavaScript代码。 影响 攻击者可以利用此漏洞在受害者的浏览器中执行任意脚本,窃取敏感信息、劫持会话或进行其他恶意操作。 漏洞细节和POC 漏洞位置: student, search, batch, Transaction, extra_parameters Payload: - - 概念验证 提供了源代码跟踪和截图,展示了如何通过恶意输入触发漏洞。 漏洞重现 展示了如何使用上述payload成功触发漏洞,并在受害者浏览器中弹出警告框显示cookie信息。