Хакер #305. Многошаговые SQL-инъекции
VP-ASP - система разработки сайтов для электронной коммерции.
1. Раскрытие пути
Диагностический сценарий shopdbtest.asp, доступный любому пользователю, позволяет раскрыть местоположение базы данных внутри значения xDatabase.
2. Небезопасные разрешения в файле конфигурации
В установке по умолчанию, файлы конфигурации shopping400.mdb/shopping300.mdb доступны через
Интернет. В файлах содержатся все данные конфигурации, включая детали о пользователях и их кредитных карточках в незашифрованном виде.
3. SQL Injection
По умолчанию устанавливается пароль администратора vpasp/vpasp или admin/admin. На многих Web сайтах этот пароль не изменяют. Также
имеется возможно обойти идентификацию имени пользователя и пароля, вводя следующие значения в поле имени и пароля: 'or''=' в сценарии shopadmin.asp.
Уязвимость обнаружена в VP-ASP 4.0.