Программа: MyPHP 1.0

Обнаруженная уязвимость позволяет
удаленному пользователю выполнить
произвольные SQL команды на системе. SQL-инъекция
возможна из-за некорректной фильтрации
переменной $fd в файле forum.php, переменной $member
файла member.php, переменная $email в файле forgot.php,
переменные $nbuser и $nbpass в файле include.php.
Удаленный пользователь может выполнить SQL_инъекцию
и получить доступ к важным данным.

Пример: 

member.php?action=viewpro&member=nonexist' UNION SELECT uid, username, password, status, email, website, aim, msn, location, sig, regdate, posts, password as yahoo FROM nb_member WHERE uid='1

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии