Összefoglaló
A PenPal olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
Leírás
A PenPal olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók SQL befecskendezéses támadásokat tudnak végrehajtani.
A “username” és a “password” paraméter az admin/verifylogin.asp-ben nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
Sikeres kihasználás esetén megkerülhető az azonosítási eljárás.
A sérülékenységek a 2.0. verzióban találhatóak. Egyéb verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
SECUNIA 34047