以下是关于网页截图中漏洞的关键信息,以简洁的Markdown格式呈现: --- 漏洞概览 漏洞类型: SQL 注入 (基于时间的盲注) CWE编号: CWE-89 (SQL 命令中特殊元素的不正确中和) CVSS v3.1 评分: 9.8 (严重) --- 影响的产品 产品名: Survey Application System 供应商: SourceCodester (可访问 sourcecodester.com) 文件/组件: view_survey.php 存在漏洞的代码行: - - 参数: 通过 HTTP GET 方式传递 --- 漏洞总结 直接将 变量值拼接进 SQL 语句中,未经验证或使用预编译语句。 攻击者可以通过控制 参数注入 SQL 代码,这种注入不会导致可见差异,但会在数据库服务器上创建可测量的延迟,实现基于时间的盲注 SQL 注入。 影响: 该漏洞远程可利用,且无需身份验证即可注入 SQL。 --- 证明概念 (PoC) --- CVSS v3.1 (建议) 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N 得分: 9.8 (严重) --- 参考资料 SourceCodester Survey Application System OWASP Blind SQL Injection 攻击