关键信息摘要 影响的产品 产品名: Patients Waiting Area Queue Management System 厂商: SourceCodester 版本: v1.0 漏洞详情 漏洞类型: SQL 注入 受影响文件: - - 根本原因: 由于 "appointmentID" 参数的用户输入验证不足,导致攻击者可以注入恶意 SQL 语句。 漏洞影响 未授权数据库访问、敏感数据泄漏、数据篡改、系统控制受影响和业务中断。 漏洞位置 在 和 文件中, 参数直接接入 SQL 查询,未做有效验证或转义。 POC (概念验证代码和 payload) 对 : - 参数注入示例: - OR boolean-based 盲注: - 时间盲注: 对 : - OR boolean-based 盲注: - 时间盲注: SQLmap 测试结果确认了 SQL 注入漏洞的存在。 建议修复措施 1. 使用预编译语句和参数绑定。 2. 强化输入验证和过滤。 3. 最小化数据库用户权限。 4. 定期进行安全审计。