Несколько уязвимостей в Password protect

Программа: Password protect

Несколько уязвимостей обнаружено в Password protect. Удаленный пользователь может внедрить SQL команды. Удаленный пользователь может выполнить XSS нападение.

Уязвимые файлы:

- ChangePassword.asp (XSS in ShowMsg, SQL Injection in LoginId and OPass variables)
- index.asp (XSS in ShowMsg)
- index_next.asp (SQL Injection in admin and Pass variables)
- users_list.asp (XSS in ShowMsg variable)
- users_add.asp (XSS in ShowMsg variable, SQL Injection)
- users_edit.asp (XSS, SQL Injection)

Пример/Эксплоит:

/adminSection/index_next.asp?
admin = (SQLInjection) Pass = (SQLInjection)
/adminSection/ChangePassword.asp?
LoginId=(SQLInjection) OPass=(SQLInjection) NPass=(SQLInjection) CPass=(SQLInjection)

/adminSection/index.asp?ShowMsg= (XSS)
/adminSection/ChangePassword.asp? ShowMsg=(XSS)
/adminSection/users_list.asp?ShowMsg= (XSS)
/adminSection/users_add.asp?ShowMsg= (XSS)

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.
Похожие материалы