Total Security - totalsecurity.com.br
Segurança
Quarta - 28 de Janeiro de 2004 às 15:20
Por: ActualMind

    Imprimir


Uma falha do tipo SQL injection foi descoberta por ActualMind, do grupo Crashers, no site da Loja Virtual da Digerati. A editora Digerati é conhecida no mundo da segurança da informação por suas publicações H4CK3R e GEEK. A falha consistia em utilizar SQL injection em uma variável de um script ASP da loja. Esta variável não era verificada, permitindo a inserção de qualquer comando SQL, dando acesso a toda a base de dados do site.

A falha foi comunicada a Digerati pelo próprio ActualMind, que também comunicou a Total Security. Apenas após a falha ter sido corrigida esta matéria foi publicada.

Um exemplo de como a falha podia ser explorada está demonstrado abaixo:
http://www.lojadigerati.com.br/loja/produtos.asp?codigo_categoria=554
%20%20union%20select%20*%20from%20(tabela%20desejada)
%20union%20select%20%20*%20from%20produtos




Fonte: Eu escrevi

Comentários

Deixe seu Comentário

URL Fonte: https://totalsecurity.com.br/noticia/429/visualizar/