Программа: SiteEnable
Уязвимость позволяет удаленному
пользователю произвести XSS нападение
выполнить произвольные SQL команды в базе
данных уязвимого приложения. SQL-инъекция
возможна из-за недостаточной фильтрации
данных в параметре 'sortby' сценария 'content.asp'.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольные SQL команды в базе данных
приложения.
Пример:
http://[target]/content.asp?do_search=0&keywords=contact&page_no =2&sortby=;SELECT%20*
FROM bla bla--
Межсайтовый скриптинг существует из-за
недостаточной фильтрации входных данных в
параметре 'contenttype' сценария 'content.asp', а также
в полях формы title и description на странице 'Submit a
Quote'. Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольные HTML команды в браузере жертвы в
контексте безопасности уязвимого сайта.
Пример:
http://[target]/content.asp?contenttype= %3Cscript%3Ealert(document.cookie)%3C/script%3E
