Программа: Ocean12 Membership Manager 

Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения. Межсайтовый скриптинг возможет из-за недостаточной обработки входных данных в параметре 'page' . Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. 

Пример: 

http://[target]/products/membership/demo/main.asp?UserID=2&page=
%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%3C font%20color=%22&Sort=Name&DisplayNumber=10 

Удаленный пользователь может выполнить произвольные SQL команды в базе данных уязвимого приложения. Уязвимость существует из-за недостаточной фильтрации данных в параметре UserID. 

Пример: 

http://[target]/products/membership/demo/main.asp?UserID=0 or 1=1&page=%22%3E%3Cscript%3Ealert(document.cookie)%
3C/script%3E%3Cfont%20color=%22&Sort=Name& DisplayNumber=10

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии