ASPSitem <=2.0 SQL注入漏洞(CVE-2006-2794/2793)及利用示例

关键漏洞信息 漏洞详情 漏洞名称: ASPSitem <= 2.0 Multiple Vulnerabilities. 日期: 2006-06-05 / 2006-06-06 作者: Mustafa Can Björn "nukedx a.k.a nuker" IPEKCI 联系信息: - ICQ: 10072 - Email: nukedx [at] nukedx [dot] com - 网站: http://www.nukedx.com 受影响版本: 2.0 及更早版本 风险等级: Medium CVE ID: CVE-2006-2794 CWE ID: N/A 远控: Yes 本地: No 漏洞描述 摘要: 通过此方法，远程攻击者可以通过 Anket.asp 中的 hid 参数注入任意 SQL 查询。Hesabim.asp 中用于检查私有消息的所有者状态的 id 参数没有正确地进行清理。 严重性: Critical 漏洞利用示例 SQL 注入 说明: 通过此示例，远程攻击者可以从数据库中泄漏用户 1 的登录信息。 读取他人私有消息 时间线 2006-05-27: 漏洞发现。 2006-05-27: 联系供应商并等待回复。 2006-05-27: 供应商已发布针对 SQL 注入的补丁。 其他信息 利用: http://www.nukedx.com/?getxpl=39 原始公告: http://www.nukedx.com/?viewdoc=39 Dorks: "Te?ekkr ASPSitem"

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

ASPSitem <=2.0 SQL注入漏洞(CVE-2006-2794/2793)及利用示例

目标达成感谢每一位支持者 — 我们达成了 100% 目标！