漏洞关键信息 受影响的产品名称 Responsive Hotel Site 制造商主页 Responsive Hotel Site Using PHP With Source Code - Source Code & Projects 受影响或修复的版本 V1.0 发现漏洞方式 sqlmap 问题类型 SQL 注入 根因 在 文件中发现了 SQL 注入漏洞,这源于 参数未经适当清理或验证,使得攻击者能注入恶意代码,创建 SQL 查询,执行非法操作。 影响 攻击者可利用此漏洞以达到未授权数据库访问,敏感数据外泄、数据篡改、全面系统控制,甚至中断服务,造成系统安全及业务连续性的严重威胁。 描述 在 "Responsive Hotel Site" 的安全性审查中,在 文件中发现了一个关键的 SQL 注入漏洞,该漏洞源于 参数不足的用户输入验证,使攻击者能够注入恶意的 SQL 查询并进行非法操作。 漏洞无需登陆或授权即可被利用 漏洞详细信息及POC 漏洞类型: 基于时间的盲注入 漏洞位置: 参数 Payload示例: 攻击结果截图示例 提供了sqlmap测试运行结果的截图,也展示了攻击后能获得的敏感信息。 建议修复方案 1. 使用预编译语句和参数绑定 2. 输入验证和过滤 3. 最小化数据库用户权限 4. 定期进行安全审计