1. Online Nurse Hiring系统简介 “在线护士招聘系统”是一个用于在线招聘护士的平台。该系统可能包括以下功能:发布护士招聘信息,管理候选人简历和申请,安排面试和评估,记录员工信息和工作安排,以及与医院或诊所其他系统集成,以便跟踪和管理护士的工作状态和培训需求。
2. 漏洞描述
在book-nurse.php页面上,bookid参数存在严重的SQL注入漏洞,攻击者可以利用这个漏洞来执行恶意的SQL查询,从而获取未授权的数据或者破坏系统的完整性。
3. 影响版本
Online Nurse Hiring System 1.0
4. fofa查询语句
body=”Hiring System”5. POC&EXP注入点:bookid
6. 漏洞代码定位
第16行代码存在安全风险,通过获取了URL参数bookid的值,并且在SQL查询中直接拼接在NurseID=’$nbid’的条件中,这样容易导致SQL注入攻击。攻击者可以通过构造恶意的bookid参数来执行任意的SQL语句,从而获取未授权的数据或者破坏数据库完整性。
© 版权声明
THE END
暂无评论内容