SQL-инъекция в Nephp Publisher

Рекомендуем почитать:

Xakep #300. Номер триста

Содержание выпуска
Подписка на «Хакер»-60%

Программа: Nephp Publisher 4.5.2 и более ранние версии

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды
в базе данных приложения. Уязвимость существует при обработке входных данных в
параметрах "id" и "nnet_catid" сценария "index.html". Удаленный пользователь
может с помощью специально сформированного URL выполнить произвольные SQL
команды в базе данных приложения.

Примеры:

/index.html?m=comments&id=[SQL]
/index.html?m=show&id=1[SQL]
/index.html?m=search&opt=search_proceed&keywords
=175&nnet_uid=1&nnet_catid=[SQL]

SQL-инъекция в Nephp Publisher

Xakep #300. Номер триста

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Виртуальная магия 2. Используем эмуляцию и виртуализацию при атаках

Добиваем мониторинг. Как работают продвинутые атаки на Sysmon

Незаметная революция. Колонка главреда

HTB Monitored. Получаем доступ в систему через Nagios XI

Трюки

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Последние новости

За 15 лет ботнет Ebury скомпрометировал более 400 000 Linux-серверов

Microsoft исправила 60 уязвимостей, включая баг, который эксплуатировал QakBot

Сооснователь Tornado Cash приговорен к пяти годам и четырем месяцам тюрьмы

Google патчит третью за неделю 0-day уязвимость в Chrome

ФБР уже во второй раз закрывает BreachForums