Уязвимости в Land Down Under (PHP+MySQL) site engine build 410

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.

Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.

⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

Уязвимости в Land Down Under (PHP+MySQL) site engine build 410

09.05.2006, 22:43

~~_kREveDKo_~~

Banned

Регистрация: 04.12.2005

Сообщений: 826

Провел на форуме:
5223479

Репутация: 3813

Уязвимости в Land Down Under (PHP+MySQL) site engine build 410

Уязвимости в Land Down Under(PHP+MySQL)site engine build 410

1) http://bug.ru/g/message.php?msg=[_X_S_S_]
2) http://bug.ru/g/users.php?m=details&id=[SQL/SiXSS]
3,4,5) http://bug.ru/g/users.php?filter=[SQL-inj/SiXSS]&sort=[SQL-inj/SiXSS]&way=[SQL-inj/SiXSS]

6) При создании нового пользователя вас ждёт уязвимый параметр email и имя. Задействуем XSS-Inj, и
теперь когда зареганные пользователи полезут смотреть список всех юзеров, там будет и ваш аккаунт,
хотя и не активный (Активация по емайлу). И при подробном рассмотрении пользователем вашей анкеты
он ловит, а точнее не ловит а отдаёт вам свои кукисы...

7) http://bug.ru/g/auth.php?m=login&a=check&rusername=[SQL]&rpassword=pass