关键漏洞信息 受影响产品 名称: Men Salon Management System 版本: V2.0 链接: https://phpgurukul.com/men-salon-management-system-using-php-and-mysql/ 漏洞文件 文件路径: /admin/change-password.php 漏洞类型 类型: SQL Injection 根因 在 文件中,攻击者可以通过 参数注入恶意代码。该参数在未经适当验证或清理的情况下直接用于SQL查询,导致SQL注入。 影响 攻击者可以未经授权访问数据库,泄露敏感数据,篡改数据,控制系统,甚至中断服务。 漏洞细节和POC 位置: 参数 Payload: 请求包示例 测试截图 使用sqlmap工具获取的特定信息截图显示了成功的SQL注入测试结果。 建议措施 1. 使用预编译语句和参数绑定。 2. 进行输入验证和过滤。 3. 最小化数据库用户权限。