1. Curfew e-Pass 管理系统简介 该系统通过电子通行证的方式,帮助政府和相关机构实现对宵禁期间人员出行的管控和管理。用户可以通过该系统在线申请电子通行证,提供相关个人信息和出行计划,系统审核后颁发电子通行证。
2. 漏洞描述 在index.php页面上,searchdata参数在搜索函数中的使用存在严重的SQL注入漏洞,攻击者可以利用这个漏洞来执行恶意的SQL查询,从而获取未授权的数据或者破坏系统的完整性。
3. 影响版本Curfew e-Pass 管理系统 V1.0
![图片[1]-Curfew e-Pass 管理系统存-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240313110308667-image-1024x424.png)
4. POC&EXP
注入点:searchdata
![图片[2]-Curfew e-Pass 管理系统存-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240313110329927-image.png)
![图片[3]-Curfew e-Pass 管理系统存-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240313110344409-image-1024x494.png)
第61行的代码存在安全风险,因为用户输入的 $searchdata变量直接插入到 SQL 查询语句中,而没有进行任何限制。这种做法使恶意用户能够利用恶意 SQL 语句执行任意数据库操作,从而对系统造成严重的安全威胁。
© 版权声明
THE END
![表情[qiudale]-山海云端论坛](https://www.shserve.cn/wp-content/themes/Shanhai/img/smilies/qiudale.gif)
我也是买了领不了、
暂无评论内容