关键信息 受影响产品: Online Attendance System 厂商主页: https://projectworlds.com/free-projects/php-projects/online-attendance-system-php-mysql-bootstrap/ 版本: V1.0 漏洞类型: SQL injection 根本原因: - 在 文件中, 参数缺乏适当的清理或验证,导致攻击者可以直接在SQL查询中注入恶意代码。 影响: - 攻击者可以利用此SQL注入漏洞实现数据库未经授权访问、敏感数据泄漏、数据篡改、全面系统控制,甚至服务中断。 修复建议: - 使用预编译语句和参数绑定 - 输入验证和过滤 - 最小化数据库用户权限 - 定期进行安全审计 缰细信息 提交人: j.jcp 漏洞文件: /process_login.php 软件链接: https://projectworlds.com/free-projects/php-projects/online-attendance-system-php-mysql-bootstrap/ 问题类型: SQL injection 攻击向量 Payload示例: - 布尔盲注: - 时间盲注: 攻击工具: SQLMap 从截图中可以看出,该系统存在SQL注入漏洞,攻击者可以通过 参数注入恶意SQL代码,从而执行未经授权的操作。为防止此类攻击,应采取适当的缓解措施,如使用预编译语句、输入验证和过滤、最小化数据库权限和定期安全审计。