Программа: SiteEnable

Уязвимость позволяет удаленному
пользователю произвести XSS нападение
выполнить произвольные SQL команды в базе
данных уязвимого приложения. SQL-инъекция
возможна из-за недостаточной фильтрации
данных в параметре 'sortby' сценария 'content.asp'.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольные SQL команды в базе данных
приложения.

Пример:

http://[target]/content.asp?do_search=0&keywords=contact&page_no =2&sortby=;SELECT%20*
FROM bla bla--

Межсайтовый скриптинг существует из-за
недостаточной фильтрации входных данных в
параметре 'contenttype' сценария 'content.asp', а также
в полях формы title и description на странице 'Submit a
Quote'. Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольные HTML команды в браузере жертвы в
контексте безопасности уязвимого сайта.

Пример:

http://[target]/content.asp?contenttype= %3Cscript%3Ealert(document.cookie)%3C/script%3E

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии