Карта сайта Хакер в RSS Энциклопедия Хакера PDA версия сайта Почтовые рассылки Хакера    Хакер в Twitter Хакер в ВКонтакте Приложение Хакер для Facebook Хакер на Formspring.me
Журнал Новости Форум Видео Life Xakep Live (блоги)
Bugtrack Статьи Блог Поиск English
Итоги конкурса Group-IB Итоги конкурса Group-IB
Настало время подведения итогов нашего конкурса, который мы проводили совместно с компанией Group-IB, специализирующейся на расследовании инцидентов информационной безопасности....
 Трюки с phpinfo Трюки с phpinfo
Совсем недавно в паблике появилась информация о новом интересном подходе к эксплуатации уязвимостей класса LFI с помощью бесполезной на первый взгляд функции phpinfo() и временных загрузочных файлов. Берем на вооружение этот полезный прием....

SQL-инъекция в phpBazar

Bookmark and Share

Программа: phpBazar 2.0.2

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «adid» сценарием classified.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит




Уязвимости в phpBazar (всего 2)

В энциклопедии: SQL-инъекция



СЛЕДУЮЩИЕ СТАТЬИ
Межсайтовый скриптинг в WordPress Twitter Feed Plugin
Межсайтовый скриптинг в WWWthreads
Межсайтовый скриптинг в WordPress Safe Search Plugin
Межсайтовый скриптинг в DotNetNuke
Выполнение произвольного кода в Babylon
Межсайтовый скриптинг в Contenido
Переполнение буфера в Freefloat FTP Serve
Переполнение буфера в VideoCharge Studio
Межсайтовый скриптинг в ZyXEL Prestige
Переполнение буфера в ProVJ
ПРЕДЫДУЩИЕ СТАТЬИ
SQL-инъекция в webEdition CMS
SQL-инъекция в Orca
Межсайтовый скриптинг в vBulletin
SQL-инъекция в Spice Classifieds
Отказ в обслуживании в Google Chrome
SQL-инъекция в SunShop Shopping Cart
Переполнение буфера в Anzio Print Wizard
SQL-инъекция в SunShop
SQL-инъекция в Banner management sсriрt
SQL-инъекция в Active PHP Bookmarks
ОБСУЖДЕНИЕ СТАТЬИ
Логин:
Пароль:
Если у вас есть форумный логин - вы можете использовать его, иначе анонимный гостевой доступ.

Для оставления комментария вы можете зарегистрироваться по упрощенной процедуре.

Обсуждение этой статьи на forum.xakep.ru
Для отправки сообщения введите код, указанный на картинке
Сообщение
UserГость
04.09.2008 14:03:44		Ответить Ссылка
1. Мне кажется что первым делом нужно блокировать все порты, и соответсвенно делать привязку к айпи адресам. 2. если Вы действительно программист то Вы не станете пользоваться встроенными функциями в PHP и других языках, а напишите их сами чтоб никаких багов туда не просунули. 3.И самое главное, разработать свою методику шифрования данных, особенно в базах таких как MYSQL и MSACESS, даже если ктото получит ваши данные, то все равно не сможет их прочесть . Best Regards, Nikman .




Keywords: zPOSTz zSCOLOURz, zHACKz, zSOFTz, zNEWSz, zYANDEXz VCT91; z44996z
Для Авторов: edit Lock delete Lock


    Rambler's Top100