关键信息 漏洞类型: SQL Injection 发现者: Seth Thomas 厂商主页: https://github.com/deepakrnsrl24/Chemical-Inventory-Management-System 测试版本: v1.0 CVE ID: Pending Assignment 概要 在Chemical Inventory Management System中存在SQL注入漏洞,特别是在 的 参数中。应用程序在将用户输入用于SQL查询之前未能正确地进行清理,这使得攻击者能够操纵查询结构,可能导致未经授权的数据访问、数据修改或完整的数据库泄露。 证明概念 (PoC) 1. Burp Request & Response - 在 的 参数中注入单引号触发了数据库错误响应,确认了SQL注入漏洞的存在。 2. 使用sqlmap进行利用 - 使用保存的请求文件和以下命令通过sqlmap确认了漏洞: - 列出 数据库中的表: 影响 成功利用此SQL注入漏洞允许攻击者: 从数据库中提取敏感信息(例如,化学品库存、用户数据)。 修改或删除数据库条目,导致数据篡改。 潜在地获得对应用程序的管理访问权限。 妥协整个系统的完整性和可用性。 建议 使用参数化查询(预编译语句)而不是直接连接用户输入到SQL查询。 对所有参数实施服务器端输入验证和清理。 遵循数据库帐户使用的最小特权原则。 定期执行安全测试和代码审查以检测和修复注入漏洞。