SQL-инъекция в KBase Express

Рекомендуем почитать:

Xakep #300. Номер триста

Содержание выпуска
Подписка на «Хакер»-60%

Программа: KBase Express 1.0.0 и более ранние версии

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды
в базе данных приложения. Уязвимость существует из-за недостаточной обработки
входных данных в параметре "id" сценария "category.php". Удаленный пользователь
может с помощью специально сформированного URL выполнить произвольные SQL
команды в базе данных приложения.

Пример:

/category.php?action=view&id=[SQL]

SQL-инъекция в KBase Express

Xakep #300. Номер триста

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Виртуальная магия 2. Используем эмуляцию и виртуализацию при атаках

Добиваем мониторинг. Как работают продвинутые атаки на Sysmon

Незаметная революция. Колонка главреда

HTB Monitored. Получаем доступ в систему через Nagios XI

Трюки

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Последние новости

За 15 лет ботнет Ebury скомпрометировал более 400 000 Linux-серверов

Microsoft исправила 60 уязвимостей, включая баг, который эксплуатировал QakBot

Сооснователь Tornado Cash приговорен к пяти годам и четырем месяцам тюрьмы

Google патчит третью за неделю 0-day уязвимость в Chrome

ФБР уже во второй раз закрывает BreachForums