从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 受影响版本: - BloodBank Management System: 1.0 2. 漏洞信息: - 漏洞类型:SQL注入(时间盲注) - 严重性:高 - 状态:未修补 3. 易受攻击的端点: - 4. 漏洞描述: - 该漏洞存在于BloodBank Management System版本1.0的文件接受功能中,该功能处理医院或捐赠者的请求。 参数未正确清理,允许攻击者操纵SQL查询并执行任意数据库操作。 - 这个漏洞使时间盲注SQL注入成为可能,恶意SQL代码迫使数据库延迟其响应。虽然没有直接信息返回,但响应时间揭示了查询是否成功执行。这可以允许攻击者: - 提取敏感数据 - 修改或删除数据库记录 - 执行拒绝服务(DoS)攻击,通过执行耗时操作,影响可用性。 5. 证明概念(PoC): - 提供了一个GET请求示例,演示了时间盲注SQL注入。该查询使数据库暂停5秒再响应,证明系统存在漏洞。 6. 影响: - 数据泄露:未经授权访问敏感医疗和捐赠记录。 - 服务中断:由时间盲注查询引起的延迟可能导致系统可用性中断并导致拒绝服务(DoS)。 - 数据完整性风险:攻击者可能修改或删除关键信息,如血液请求记录或捐赠数据。 7. 图像: - 展示了请求和响应的示例,以及使用sqlmap工具识别的注入点。 8. 缓解措施建议: - 使用预处理语句 - 输入验证 - 错误处理 - 数据库权限限制 - 实施速率限制 - 定期安全审计 这些信息详细描述了漏洞的性质、影响和缓解措施建议,有助于理解和应对该漏洞。