Программа: Zomplog
Обнаруженные уязвимости позволяют
удаленному пользователю произвести XSS
нападение и выполнить произвольные SQL
команды в базе данных приложения.
1. SQL-инъекция возможна из-за недостаточной
обработки входных данных в параметре id
сценария detail.php, параметра catid сценариях get.php
и index.php.
Примеры:
/detail.php?id=[SQL]
/get.php?catid=[SQL]
/index.php?show=1&catid=[SQL]
2. Межсайтовый скриптинг возможен из-за
недостаточной обработки входных данных в
параметрах name, username и search. Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольный
HTML сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.
Примеры:
/detail.php?name=[XSS]
/get.php?username=[XSS]
/index.php?search=[XSS]
