关键漏洞信息 1. 漏洞概述 易受攻击的端点: 易受攻击的参数: 问题类型: SQL注入 软件URL: https://www.sourcecodester.com/php/15823/stock-management-system-phpoop-source-code.html 2. 漏洞描述 在库存管理系统中的Return List页面,具体在 参数中发现SQL注入漏洞。通过操纵 参数,攻击者可以将任意SQL查询注入到后端数据库。 示例payload: 3. 复现步骤 1. 登录到员工账户。 2. 访问易受攻击的页面 。 3. 修改 参数为上述payload。 4. 响应将包含 表中用户的用户名和密码哈希的连接字符串。 4. SQL注入Payload 5. 概念验证 (PoC) 截图展示了SQL注入攻击的过程,揭示了敏感的用户凭据给攻击者。 6. 影响 此漏洞对应用的安全性有重大影响: 1. 提取 表中的用户名和密码哈希。 2. 可能利用这些哈希破解密码。 3. 获得对应用敏感区域的未经授权访问或提升权限。