• Партнер

  • Программа: Jiro's Link Manager 1.x

    Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения и осуществить XSS нападение на целевую систему.

    1) Уязвимость существует из-за недостаточной обработки входных данных в параметрах "lName", "lUrl", "lImage" и "lDescription" сценарием submitlink.asp. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

    Примеры:

    xss permanent (post):
    в файле : /submitlink.asp
    -Link Name:
    -Link URL:
    -Link Image:
    -Link Description:

    2) Уязвимость существует из-за недостаточной обработки входных данных в параметре "LinkID" сценарием openlink.asp и в параметре "CategoryID" сценарием viewlinks.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

    Пример: 

    /openlink.asp?LinkID='[sql]
    /viewlinks.asp?CategoryID='[sql]

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии