|
تزریق به بانک اطلاعاتی در DVBBS | |||||||
| شماره : | 30455 | ||||||
| زمان انتشار: | 1387-03-12 | ||||||
| درجه خطر : |
( 5 / 3 )
| ||||||
| دسته بندي : | |||||||
|
از راه دور برنامه تحت وب تزريق به ديتابيس و پایگاه داده ضعف | |||||||
| از راه دور | بله | ||||||
| برورساني : | خیر | ||||||
| سخت افزاري : | خیر | ||||||
| سيستم عامل : | خیر | ||||||
| برنامه آسيب پذير : | |||||||
| |||||||
| عنوان انگليسي : | DVBBS login.asp SQL Injection Vulnerability | ||||||
| توضيحات كوتاه : | |||||||
|
یک آسیب پذیری امنیتی در DVBBS گزارش شده است که به مهاجمان اجازه انجام حملات تزریق کد به پایگاه دادهSQL را می دهد. مقادیر ورودی اختصاص یافته به پارامتر username در login.asp پیش از تبدیل به SQL Query از لحاظ امنیتی بصورت مناسب بررسی نمی شود ، این اشکال امکان تزریق و اجرای کد های SQL از طریق SQL Query های خاص طراحی شده بدین منظور را فراهم می نماید. حمله در صورت غیر فعال بودن "magic_quotes_gpc" موفقیت آمیز خواهد بود . آسیب پذیری برای نسخه ی 8.2.0 گزارش شده است ، دیگر نسخه ها نیز ممکن است دارای آسیب مشابه باشند. | |||||||
| راه چاره : | |||||||
| ویرایش کد منبع و کسب اطمینان از کنترل صحیح مقادیر ورودی . | |||||||
| اعتبار كشف : | hackerb | ||||||
| اطلاعات تكميلي : |
| ||||||
| منابع : |
| ||||||
|
|
منبع :
http://www.bugtraq.ir/advisory/30455/
