从截图中,我们可以获取到以下关于漏洞的关键信息: 漏洞位置(Vulnerability Location): 影响范围(Affected Range):News Portal Project V4.1 漏洞原因(Vulnerability Cause): 存在严重的安全漏洞。对 参数的操纵可导致 SQL 注入。攻击可以远程发起。 漏洞影响(Vulnerability Impact):获得数据库访问权限,甚至 DBA 权限。 关联链接(Link):[](https://phpgurukul.com/news-portal-project-in-php-and-mysql/) 漏洞再现说明(Vulnerability recurrence):此漏洞无需其他漏洞即可利用,只需访问 。 - Payload 示例: - - 使用 sqlmap 工具测试示例: - 命令: - 测试结果:成功识别参数 (自定义 POST 参数)为可注入点。 - 识别到的注入类型包括布尔盲注入、错误注入和时间盲注入等。 代码分析(Code Analysis): - 参数在 中未经验证直接通过 POST 方法传递并直接插入 SQL 语句中。 - 示例代码可见页面底部 PHP 代码块。