VP-ASP — система разработки сайтов для электронной коммерции. 

1. Раскрытие пути 

Диагностический сценарий shopdbtest.asp, доступный любому пользователю, позволяет раскрыть местоположение базы данных внутри значения xDatabase. 

2. Небезопасные разрешения в файле конфигурации 

В установке по умолчанию, файлы конфигурации shopping400.mdb/shopping300.mdb доступны через
Интернет. В файлах содержатся все данные конфигурации, включая детали о пользователях и их кредитных карточках в незашифрованном виде. 

3. SQL Injection 

По умолчанию устанавливается пароль администратора vpasp/vpasp или admin/admin. На многих Web сайтах этот пароль не изменяют. Также
имеется возможно обойти идентификацию имени пользователя и пароля, вводя следующие значения в поле имени и пароля: ‘or»=’ в сценарии shopadmin.asp. 

Уязвимость обнаружена в VP-ASP 4.0.

Оставить мнение