SQL-инъекция в ltwCalendar

Рекомендуем почитать:

Xakep #300. Номер триста

Содержание выпуска
Подписка на «Хакер»-60%

Программа: ltwCalendar 4.1.3 и более ранние версии.

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды
в базе данных приложения. Уязвимость существует при обработке входных данных в
параметре "id" сценария "calendar.php". Удаленный пользователь может с помощью
специально сформированного URL выполнить произвольные SQL команды в базе данных
приложения.

Пример:

/calendar.php?display=event&id=[SQL]

SQL-инъекция в ltwCalendar

Xakep #300. Номер триста

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Виртуальная магия 2. Используем эмуляцию и виртуализацию при атаках

Добиваем мониторинг. Как работают продвинутые атаки на Sysmon

Незаметная революция. Колонка главреда

HTB Monitored. Получаем доступ в систему через Nagios XI

Трюки

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Последние новости

За 15 лет ботнет Ebury скомпрометировал более 400 000 Linux-серверов

Microsoft исправила 60 уязвимостей, включая баг, который эксплуатировал QakBot

Сооснователь Tornado Cash приговорен к пяти годам и четырем месяцам тюрьмы

Google патчит третью за неделю 0-day уязвимость в Chrome

ФБР уже во второй раз закрывает BreachForums