Włamanie na SMS Shop 2.0/2.1 by G[o]Q

Banalny przykład ataku na SMS Shop 2.1 by G[o]Q poprzez SQL Injection. Wystarczy podczas logowania podać takie dane
login - "' OR '1'='1' -- "
haslo - "dowolne"
jeśli na serwerze jest wyłączone magic_quotes to atak zadziała i zostanie zalogowani na pierwsze utworzone konto ( czyli zazwyczaj administratora ) Dla potwierdzenia kilka scrennów hack Gdzie jest błąd ? login.php linijka
 echo "SELECT * FROM `konta` WHERE `login`='".$_POST['login']."' and `haslo`='".md5($_POST['pass'])."'"; 
klasyczny przykład braku filtracji otrzymywanych danych 😉

6 komentarzy o “Włamanie na SMS Shop 2.0/2.1 by G[o]Q

Dodaj komentarz

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.