yudaoCloud 2026.01 漏洞报告总结 漏洞概述 漏洞1:/admin-api/system/tenant/get-by-website SQL布尔盲注 漏洞类型:SQL布尔盲注(Boolean-based blind SQL injection) 利用条件:无需登录,未授权访问 数据库类型:MySQL >= 5.0.12 POC代码: Sqlmap验证结果: --- 漏洞2:/admin-api/system/mail-log/page SQL盲注 漏洞类型:SQL盲注 利用条件:需要登录后利用 默认弱口令:admin/admin123 利用步骤: 1. 使用弱口令 登录后台 2. 抓取邮件日志分页接口请求 3. 修改 参数注入SQL POC代码: 完整请求: --- 影响范围 --- 修复方案 1. 参数化查询:对所有用户输入进行预编译参数化处理,避免字符串拼接SQL 2. 输入验证:对 、 等参数进行严格的格式校验和白名单过滤 3. 移除弱口令:强制用户修改默认密码,实施密码复杂度策略 4. 权限控制:对敏感接口增加额外的权限校验,避免未授权访问 5. WAF防护:部署Web应用防火墙,拦截SQL注入攻击特征 6. 最小权限原则:数据库连接账号限制权限,禁止执行敏感操作(如 查询)