1. Online Nurse Hiring系统简介        “在线护士招聘系统”是一个用于在线招聘护士的平台。该系统可能包括以下功能：发布护士招聘信息，管理候选人简历和申请，安排面试和评估，记录员工信息和工作安排，以及与医院或诊所其他系统集成，以便跟踪和管理护士的工作状态和培训需求。

2. 漏洞描述

        在book-nurse.php页面上，bookid参数存在严重的SQL注入漏洞，攻击者可以利用这个漏洞来执行恶意的SQL查询，从而获取未授权的数据或者破坏系统的完整性。

3. 影响版本

Online Nurse Hiring System 1.0

4. fofa查询语句

body=”Hiring System”5. POC&EXP注入点：bookid

6. 漏洞代码定位

 第16行代码存在安全风险，通过获取了URL参数bookid的值，并且在SQL查询中直接拼接在NurseID=’$nbid’的条件中，这样容易导致SQL注入攻击。攻击者可以通过构造恶意的bookid参数来执行任意的SQL语句，从而获取未授权的数据或者破坏数据库完整性。