SQL注入漏洞总结 漏洞概述 漏洞类型: SQL注入(SQL Injection) 受影响产品: Hotel and Tourism Reservation System PHP 1.0 受影响文件: 漏洞参数: 和 (GET) 认证要求: 不需要 攻击向量: 远程 漏洞类型: 时间盲注SQL注入(CWE-89) CVSS v3.1 评分: 7.5 (High) CVSS v3.1 向量: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N 影响范围 未认证的远程攻击者可以枚举整个数据库,提取凭证和敏感数据,并可能实现完全系统控制。 修复方案 POC代码 Payload (GET - delete_image) Payload (GET - edit) 时间盲注确认 参考链接 https://owasp.org/www-community/attacks/SQL_Injection https://cwe.mitre.org/data/definitions/89.html https://code-projects.org/hotel-and-tourism-reservation-in-php-with-source-code/