漏洞概述 产品名称: Apartment Visitor Management System 版本: V1.0 供应商: Codeastro 漏洞类型: SQL注入 漏洞文件: 漏洞参数: (POST) 攻击向量: 远程 认证要求: 不需要(或低权限会话) 影响范围 攻击者可以利用此漏洞: - 获取对数据库的未授权访问 - 提取敏感数据(用户凭证、访客记录等) - 修改或删除数据 - 实现完全系统控制 - 导致服务中断/拒绝服务 修复方案 1. 使用预处理语句和参数绑定:预处理语句将SQL代码与用户数据分离。用户输入被视为纯数据,永远不会被解释为SQL代码。 2. 输入验证和过滤:严格验证并过滤所有用户输入。确保值符合预期格式(类型、长度、范围、正则表达式)。 3. 最小权限原则:应用程序使用的数据库账户应具有最小必要权限。避免使用 或 账户进行应用程序连接。 4. 定期安全审计:定期进行代码审查和渗透测试,以识别和修复漏洞,防止被利用。 POC代码 时间盲注(Time-Based Blind) UNION查询(12列) 原始HTTP请求 Sqlmap命令(本地)