关键漏洞信息 CVE编号: CVE-2025-11481 发现者: Shuvo Ahmed Sanin (来自孟加拉国的Red Team研究员) 厂商: Github 软件URL: https://github.com/varunsardana04/Blood-Bank-And-Donation-Management-System 漏洞类型: SQL注入 受影响组件: 成为捐赠者部分 (http://localhost/Blood-Bank-And-Donation-Management-System/donate_blo) 影响: 可执行代码 复现步骤: 1. 点击成为捐赠者部分 (https://github.com/varunsardana04/Blood-Bank-And-Donation-Management-System) 2. 填写所有内容,然后使用Burpsuite拦截提交请求 3. 将代理请求发送到重放器选项卡 4. 转到重放器,替换fullname=test为fullname='%2b(select*from(select(sleep(10)))a)%2b'& 5. 观察响应在10秒后到来,这意味着SQL注入正在工作 影响: 攻击者可以利用此SQL注入漏洞未经授权访问数据库,窃取敏感信息。 缓解措施: 1. 使用预编译语句和参数绑定 2. 准备好的语句可以防止SQL注入,因为它们将SQL代码与用户输入数据分开。当使用准备好的语句时,数据库驱动程序会自动处理转义和引号。 3. 输入验证和过滤 4. 严格验证和过滤用户输入数据,以确保其符合预期格式。 5. 最小化数据库用户权限 参考: https://www.linkedin.com/in/shuvo-ahmed-sanin/