Уязвимости движка

10 Янв 2013
В двиге я нашел (2) - XSS, и (15) SQL Injection. все выказывать не буду что бы не хакнули
Путь: /style/themes/web/title.php
Строка : 42
Уязвимость: XSS
В блокноте: echo '<a href="'.$_SERVER['REQUEST_URI'].'">Ð�Ð±Ð½Ð¾Ð²Ð¸Ñ�Ñ�</a>';
Закрыта уяз: echo '<a href="'. htmlspecialchars($_SERVER['REQUEST_URI']).'">Ð�Ð±Ð½Ð¾Ð²Ð¸Ñ�Ñ�</a>';
Путь: /chat/inc/admin_act.php
Строка : 13
Уязвимость: SQL Injection!
В блокноте: mysql_query("UPDATE `chat_rooms` SET `name` = '$name', `opis` = '$opis', `pos` = '$pos', `umnik` = '$umnik', `shutnik` = '$shutnik' WHERE `id` = '$room[id]' LIMIT 1");
Закрыта уяз: mysql_query("UPDATE `chat_rooms` SET `name` = '$name', `opis` = '".mysql_real_escape_string($opis)."', `pos` = '$pos', `umnik` = '$umnik', `shutnik` = '$shutnik' WHERE `id` = '$room[id]' LIMIT 1");
Путь: /chat/inc/admin_act.php
Строка : 53
Уязвимость: SQL Injection!
В блокноте: mysql_query("INSERT INTO `chat_rooms` (`name`, `opis`, `pos`, `umnik`, `shutnik`) values('$name', '$opis', '$pos', '$umnik', '$shutnik')");
Закрыта уяз: mysql_query("INSERT INTO `chat_rooms` (`name`, `opis`, `pos`, `umnik`, `shutnik`) values('$name', '".mysql_real_escape_string($opis)."', '$pos', '$umnik', '$shutnik')");

Тема закрыта Cистема

Статистика WMID автора:

911708189410 BL

Претензии | Отзывы

Комментарии:

People

10 Янв 2013
Проверил через тот сканнер, выдает только $_SERVER['REQUEST_URI'].

People

10 Янв 2013
Чат я даже не трогал, он с fiera. К тому же там проверка на символы. $_SERVER['REQUEST_URI'] не является xss. И в поле нужно еще там где ты проверял вписывать экранирующие функции через запятую.