关键信息 漏洞详情 CVE编号: CVE-2025-60316 发现者: Ivan Coso (https://www.linkedin.com/in/ivancoso/) 受影响产品: Pet Grooming Management - 1.0 供应商: Sourcecodester 漏洞类型: SQL注入 (SQLI) 描述 Sourcecodester Pet Grooming Management Software 1.0 存在SQL注入漏洞,通过admin/view_customer.php中的id参数。 攻击向量 攻击者利用管理员权限可以通过恶意的SQL查询利用SQL注入漏洞,访问敏感数据、转储特权、修改记录,并可能危及整个系统。 攻击类型 远程: True 影响代码执行: True 影响拒绝服务: True 影响权限提升: True 影响信息泄露: True 重要步骤重现 1. 登录后显示仪表板。 2. 在“客户管理”部分选择要更改的客户。 3. 客户由"id"参数标识,如使用Burp工具拦截请求所示。 4. 参数受SQL注入漏洞影响,通过自动化工具SQLMap转储数据库。 警告 影响 1. 允许未经授权访问数据库,允许攻击者读取、修改或删除敏感记录。 2. 允许身份验证绕过和权限提升,使攻击者能够获得管理控制。 3. 促进大规模数据渗漏和篡改,损害数据完整性、业务连续性和用户信任。 建议 1. 参数化查询/预编译语句 - 对所有数据库访问使用参数化查询或预编译语句。从不将用户输入直接插入SQL命令中。 2. 输入验证和清理 - 使用严格的允许列表(类型/长度/格式)在服务器端验证和规范化用户输入,并拒绝或取消恶意值。 3. 数据库帐户的最小权限 - 确保应用程序使用的数据库凭据仅具有所需的最低权限(例如,单独的读/写/管理员角色)。 4. 避免动态SQL并禁用堆栈跟踪 - 从构建动态SQL中退缩;在不可避免的情况下,使用安全参数绑定并禁用对多个语句的支持。 5. 强健的错误处理和日志记录 - 不要向用户公开数据库错误消息;记录可疑查询和异常以进行监控和法医分析。