SQL-injection v MX Shop 1.1.1

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: bUgs
Datum: 5.4.2005
Hodnocení/Hlasovalo: 2.4/48

Provádíme SQL-injection pomoci spec. upravené URL

Aplikace: MX Shop 1.1.1

Slabé místo dovoluje vzdálenému uživateli provést libovolné SQL příkazy špatně zabezpečené aplikaci.
Toto slabé místo bylo nalezeno při zpracováni vstupných údajů v parametru 'id_ctg' v modulu 'category'
Vzdálený uživatel může tak diky speciálně upravené URL provést SQL-injection v DB aplikace.

Přiklad:
http://[target]/MXShop/?mod=category&id_ctg='SQL_INJECTION