从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞编号:CVE-2024-8217 - 受影响项目:Sourcecodester Online Art Gallery Management System 1.0 - 受影响版本:1.0 - 相关代码文件:/Admin/registration.php - 注入参数:fname 2. 漏洞分析: - 缺乏输入验证和净化:用户名字段直接用于SQL查询,没有进行任何验证或净化,允许攻击者通过注入恶意SQL代码来操纵查询。 - 使用原始SQL查询:脚本可能使用原始SQL查询与数据库交互。没有使用预处理语句,这使得系统高度易受SQL注入攻击。 3. 演示: - 注册页面:通过访问 ,可以注册管理员账户。 - Burp Suite拦截:使用Burp Suite拦截注册请求,然后使用sqlmap工具进行SQL注入测试。 4. 验证命令: - 使用 命令验证漏洞: 5. 漏洞类型: - 类型:时间盲注 - 标题:MySQL >= 5.0.12 AND time-based blind (query SLEEP) - payload: 这些信息表明,该漏洞允许攻击者通过注入恶意SQL代码来操纵数据库查询,从而可能获取敏感信息或执行未授权操作。