从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-50970 2. 描述:SQL注入漏洞存在于orderview1.php文件中,允许远程攻击者通过id参数执行任意SQL命令。 3. 漏洞类型:SQL注入 4. 受影响的产品:Itsourcocode Online Furniture Shopping Project 1.0 5. 受影响的代码库:https://itsourcocode.com/free-projects/php-project/online-furniture-shop-in-php-projects-free-source-code-and-database/ - 1.0 6. 受影响的组件:Itsourcocode Online Furniture Shopping v1.0的orderview1.php页面 7. 攻击向量: - 本地设置应用,注册账户并登录新注册的账户。 - 导航到orderview1.php页面的URL。 - 注入SQL负载:修改id参数,包含时间盲注SQL注入负载。 - 观察应用响应:页面加载时间显著增加(10秒),确认id参数受SQL注入影响。 - 使用SQLMap工具进一步利用和导出数据库,使用以下命令: 8. 参考: - https://itsourcocode.com/free-projects/php-project/online-furniture-shop-in-php-projects-free-source-code-and-database/ - https://owasp.org/www-community/attacks/SQL_Injection 这些信息详细描述了漏洞的性质、影响范围以及如何利用漏洞进行攻击。