关键漏洞信息 影响的产品 ONLINE MUSIC SITE 提交者 Yeliuyun 漏洞文件 AdminUpdateUser.php 版本 V1.0 漏洞类型 SQL injection 根因 在 "AdminUpdateUser.php" 文件中,攻击者可以通过 "id" 参数注入恶意代码,该输入未经过适当清理或验证后直接用于 SQL 查询中,导致攻击者可以篡改数据、控制系统等。 影响 利用此漏洞,攻击者可以获得对数据库的未经授权访问,导致敏感数据泄露、篡改数据、控制整个系统,甚至破坏服务。 描述 无需登录或授权即可利用该漏洞。 漏洞位置和POC 漏洞位置: "id" 参数 Payloads: - Boolean-based blind: - Error-based: - Time-based blind: 漏洞请求数据包: 修复建议 1. 使用预处理语句和参数绑定: 阻止将用户输入误解为SQL代码。 2. 执行输入验证和过滤: 防止恶意输入。 3. 最小化数据库用户权限: 确保数据库账户具有最低权限。