Программа: Koobi 4.2.3

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе
данных уязвимого приложения.

1. Отсутствует должная фильтрация данных в
переменной area в сценарии index.php. Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольный
HTML сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.

Пример:

http://[target]/index.php?area=[XSS] <./i>

2. Удаленный пользователь может также с
помощью специально сформированного
значения переменной area выполнить
произвольные SQL команды в базе данных
приложения.

Пример:

http://[target]/index.php?p=articles&area=[SQLCode]

3. Удаленный пользователь может получить
данные об установочной директории
приложения на сервере.

Пример:

http://[target]/index.php?area=1[some stuff]&p=news&newsid=1
http://[target]/index.ph p?p=news’&newsid=



Оставить мнение