#利用标题:注册系统项目V1.0 -SQL注入身份验证旁路(SQLI)
#找到的日期: 18/05/2023
#利用作者: Vivek Choudhary @sudovivek
#版本: V1.0
#测试在: Windows 10
#供应商homepage: https://www.sourcecodester.com
#软件链接: https://www.sourcecodester.com/php/...-project-source-code-code-using-phpmysql.html
#CVE: CVE-2023-33584
#cve url: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2023-33584
脆弱性描述-
由Sourcecodester开发的招生系统V1.0项目很容易受到SQL注入(SQLI)攻击的影响。此漏洞使攻击者可以操纵应用程序执行的SQL查询。该系统无法在登录过程中正确验证用户名和密码字段中的用户提供的输入,从而使攻击者能够注入恶意SQL代码。通过利用此漏洞,攻击者可以绕过身份验证并获得对系统的未经授权访问。
繁殖的步骤-
以下步骤概述了入学系统中SQL注入漏洞的开发项目v1.0:
1。启动注册系统项目v1.0应用程序。
2.通过访问url: http://localhost/enrollment/login.php打开登录页面。
3.在用户名和密码字段中,插入以下在括号内显示的SQL注入有效载荷以绕过Authentication: {'或1=1#}。
4.单击登录按钮以执行SQL注入有效载荷。
由于成功开发,攻击者获得了未经授权的系统访问权限,并以行政特权登录。
#找到的日期: 18/05/2023
#利用作者: Vivek Choudhary @sudovivek
#版本: V1.0
#测试在: Windows 10
#供应商homepage: https://www.sourcecodester.com
#软件链接: https://www.sourcecodester.com/php/...-project-source-code-code-using-phpmysql.html
#CVE: CVE-2023-33584
#cve url: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2023-33584
脆弱性描述-
由Sourcecodester开发的招生系统V1.0项目很容易受到SQL注入(SQLI)攻击的影响。此漏洞使攻击者可以操纵应用程序执行的SQL查询。该系统无法在登录过程中正确验证用户名和密码字段中的用户提供的输入,从而使攻击者能够注入恶意SQL代码。通过利用此漏洞,攻击者可以绕过身份验证并获得对系统的未经授权访问。
繁殖的步骤-
以下步骤概述了入学系统中SQL注入漏洞的开发项目v1.0:
1。启动注册系统项目v1.0应用程序。
2.通过访问url: http://localhost/enrollment/login.php打开登录页面。
3.在用户名和密码字段中,插入以下在括号内显示的SQL注入有效载荷以绕过Authentication: {'或1=1#}。
4.单击登录按钮以执行SQL注入有效载荷。
由于成功开发,攻击者获得了未经授权的系统访问权限,并以行政特权登录。