1. News Portal系统简介 提供新闻报道和信息发布的在线平台,用户可以浏览各种新闻内容并获取最新资讯。
2. 漏洞描述 在news-details.php页面上,name参数在搜索函数中的使用存在严重的SQL注入漏洞,攻击者可以利用这个漏洞来执行恶意的SQL查询,从而获取未授权的数据或者破坏系统的完整性。
3. 影响版本
News Portal 系统 V1
![图片[1]-News Portal 系统存在sql注入漏洞-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240313104837629-image-1024x678.png)
注入点:name
![图片[2]-News Portal 系统存在sql注入漏洞-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240313104859445-image.png)
![图片[3]-News Portal 系统存在sql注入漏洞-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240313104918595-image-1024x508.png)
第19行的代码存在安全风险,因为用户输入的 $name变量直接插入到 SQL 查询语句中,而没有进行任何限制。这种做法使恶意用户能够利用恶意 SQL 语句执行任意数据库操作,从而对系统造成严重的安全威胁。
© 版权声明
THE END
暂无评论内容