Программа: Zomplog

Обнаруженные уязвимости позволяют
удаленному пользователю произвести XSS
нападение и выполнить произвольные SQL
команды в базе данных приложения.

1. SQL-инъекция возможна из-за недостаточной
обработки входных данных в параметре id
сценария detail.php, параметра catid сценариях get.php
и index.php.

Примеры:

/detail.php?id=[SQL]
/get.php?catid=[SQL]
/index.php?show=1&catid=[SQL]

2. Межсайтовый скриптинг возможен из-за
недостаточной обработки входных данных в
параметрах name, username и search. Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольный
HTML сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.

Примеры:

/detail.php?name=[XSS]
/get.php?username=[XSS]
/index.php?search=[XSS]



Оставить мнение