从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-51327 2. 漏洞类型:SQL注入(SQL Injection) 3. 受影响的系统:Travel Management System 1.0 4. 漏洞描述: - 在 文件中存在SQL注入漏洞,导致身份验证绕过。 - POST参数 和 直接拼接成SQL查询,导致身份验证绕过。 5. 漏洞代码示例: 6. PoC(Proof-of-Concept): - 使用Burp Suite或任何Web代理拦截 请求。 - 将用户名或 参数设置为 或 (这将拉取每行,因为它每次都返回true)。 - 认证被绕过并重定向到仪表板。 7. 缓解措施: - 使用参数化查询或预处理语句代替直接拼接输入参数。 - 这将防止SQL注入攻击,因为输入将被视为数据,而不是SQL语法的一部分。 8. 发现者:Anirudh Krishnaprasad,2024年10月 9. 参考链接: - CVE-2024-51327 - CVE-2024-51327