关键漏洞信息 1. 漏洞概述 易受攻击的端点: 易受攻击的参数: 问题类型: SQL注入 软件URL: https://www.sourcecodester.com/php/15023/stock-management-system-phpoop-source-code.html 2. 漏洞描述 在库存管理系统中的销售列表页面,具体在以下端点的 参数中发现了SQL注入漏洞: 。通过操纵 参数,攻击者可以将任意SQL查询注入到后端数据库。 3. 复现步骤 1. 登录到员工账户。 2. 访问易受攻击的页面: 。 3. 修改 参数为以下payload: 4. 响应将包含存储在 表中的用户名和密码哈希的连接字符串。 4. SQL注入Payload 5. 概念验证(PoC) 截图展示了SQL注入攻击的实际效果,揭示了敏感的用户凭据给攻击者。 6. 影响 此漏洞对应用程序的安全性有重大影响。了解此漏洞的攻击者可以: 1. 从 表中提取用户名和密码哈希。 2. 使用这些哈希破解密码。 3. 获得对应用程序敏感区域的未经授权访问或提升权限。