关键漏洞信息 漏洞介绍 版本: QloApps 1.6.1 文件: 参数: 问题: SQL注入漏洞,攻击者可以通过构造恶意请求执行任意SQL语句。 漏洞分析 关键代码行: - 第54行: 通过 接收 参数。 - 第76行: 将 直接拼接到SQL查询中。 - 第95行: 未经过任何过滤或转义直接拼接到 中。 - 第97行: 执行SQL查询时未对 内容进行处理。 漏洞重现 管理员权限验证: 代码中存在管理员权限验证,需要登录后才能访问。 恶意请求示例: SQLmap结果 检测到的SQL注入类型: MySQL >= 5.0 AND time-based blind 受影响列数: 7 Payload示例: