以下是提取出的漏洞关键信息,已使用简洁的Markdown格式表示: CVE-2023-46021 漏洞信息 CVE ID: CVE-2023-46021 受影响版本: Blood Bank V1.0 易受攻击文件: /cancel.php 参数名称: reqid 攻击类型: 本地 漏洞概览 代码项目Blood Bank V1.0存在严重安全漏洞,涉及通过 文件中的 参数进行带外(OOB)SQL注入。攻击者可以利用Burp Collaborator滥用该参数,发起OOB SQL注入攻击,可能导致对数据库的未授权访问和敏感数据的提取。 漏洞详情 参数在 文件中容易受到带外SQL注入攻击。该漏洞源于保护机制不足,使攻击者能通过Burp Collaborator使用该参数启动OOB SQL注入攻击,可能由此提取数据库中的敏感信息。 Proof of Concept (PoC) 在Burp Suite中拦截向 发送的请求。 向易受攻击的参数中注入有效负载。 有效负载示例: reqid参数示例请求: 通过Burp Suite Collaborator成功捕获数据库和版本信息。