Программа: Password protect 

Несколько уязвимостей обнаружено в Password protect. Удаленный пользователь может внедрить SQL команды. Удаленный пользователь может выполнить XSS нападение. 

Уязвимые файлы: 

- ChangePassword.asp (XSS in ShowMsg, SQL Injection in LoginId and OPass variables)
- index.asp (XSS in ShowMsg)
- index_next.asp (SQL Injection in admin and Pass variables)
- users_list.asp (XSS in ShowMsg variable)
- users_add.asp (XSS in ShowMsg variable, SQL Injection)
- users_edit.asp (XSS, SQL Injection)

Пример/Эксплоит: 

/adminSection/index_next.asp?
admin = (SQLInjection) Pass = (SQLInjection) 
/adminSection/ChangePassword.asp?
LoginId=(SQLInjection) OPass=(SQLInjection) NPass=(SQLInjection) CPass=(SQLInjection)

/adminSection/index.asp?ShowMsg= (XSS)
/adminSection/ChangePassword.asp? ShowMsg=(XSS)
/adminSection/users_list.asp?ShowMsg= (XSS)
/adminSection/users_add.asp?ShowMsg= (XSS)

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии