Jump to content

Критическая уязвимость сайта


Recommended Posts

support

Да, недостаточная проверка входящих параметров.

2 часа назад, 73002 сказал:

imgonline-com-ua-dexif9-Fur5p-FHP0-OH.jp

Да, недостаточная проверка входящих параметров.

 
Link to post
Share on other sites
support
10 минут назад, 73002 сказал:

:91_thumbsup:

Хотя потенциально конечно такие места ещё много где могут быть.

А какой утилитой проверяете?!

sqlmap!?

 

Link to post
Share on other sites

Да, есть ещё одно место, прямо в главном файле страницы.

Да, sqlmap, только с очень множественными настройками.

Link to post
Share on other sites
support
15 минут назад, 73002 сказал:

Да, есть ещё одно место, прямо в главном файле страницы.

Да, sqlmap, только с очень множественными настройками.

В главном файле странице, это в каком?!

index.php ?!

Link to post
Share on other sites

Совершенно верно. При запросе я обращаюсь к нему, а вот что именно на это влияет.... :2_grimacing:

Мне кажется если демо версии просканировать то тоже что нибудь да обнаружится.

Link to post
Share on other sites
support
10 минут назад, 73002 сказал:

Совершенно верно. При запросе я обращаюсь к нему, а вот что именно на это влияет.... :2_grimacing:

Мне кажется если демо версии просканировать то тоже что нибудь да обнаружится.

А что за запрос?!

Если вида - /0\x22XOR(if(now()=sysdate(),sleep(15),0))XOR\x22Z/action/banner/goto/24

То они не проходят.

Link to post
Share on other sites

Хм, очень странно.

25.png

Всё отлично проходит.

Очень не уютно от Ваших "?!" :3_grin:

Link to post
Share on other sites
support
21 минуту назад, 73002 сказал:

Хм, очень странно.

25.png

Всё отлично проходит.

Очень не уютно от Ваших "?!" :3_grin:

А где ответ сервера смотрите?!

Это всё в sqlmap?

Если wget или в консоли браузера, то у меня 404 ошибку отдаёт.

https://vamshop.ru/0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z

Link to post
Share on other sites

В нём самым.

Даже другой сканер с радостью подхватил и выдал такие же результаты.

26.png

В нём самом*

26.png

Link to post
Share on other sites
support
3 минуты назад, 73002 сказал:

В нём самым.

Даже другой сканер с радостью подхватил и выдал такие же результаты.

26.png

Понятно, попробую в sqlmap посмотреть, спасибо за информацию.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...