Компьютер для продвинутых пользоватлей Выпус по безопасности. Ошибка в TheWebForum.
Компьютер для продвинутых
пользователей
Содержание:
TheWebForum
ПО: TheWebForum
Версия: 1.2.1
Описание:
1. Возможно SQl-инъекция.
Уязвимый скрипт:
login.php
Перменные $_POST['username'] и $u не проверяются, а соответственно
возможно использование некоторого SQL-запроса.
2. XSS.
Уязвимый скрипт:
login.php
Перменная $www не проверяеться, а соответственно возможно использование
некоторого кода.
Использование:
1.http://host/twf/login.php
User Name: a' or 'a'='a'/*
Password: anypassword
2.http://host/twf/register.php
Website value: <script>alert(document.cookie)</script>