SQL-инъекция в BlogPHP
Программа: BlogPHP 1.0
Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "username" на странице авторизации пользователей. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Для успешной эксплуатации уязвимости должна быть выключена опция "magic_quotes_gpc".
Пример:
Решение: Способов устранения уязвимости не существует в настоящее время.
:zns2: призводитель
Источник: www.securitylab.ru
Программа: BlogPHP 1.0
Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "username" на странице авторизации пользователей. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Для успешной эксплуатации уязвимости должна быть выключена опция "magic_quotes_gpc".
Пример:
Код:
http://host/index.php? act=login
username: a' or 1/*
password: anypassword:zns2: призводитель
Источник: www.securitylab.ru