Resultados 1 al 3 de 3

Tema: Duda acerca de una vulnerabilidad SQL

  1. #1 Duda acerca de una vulnerabilidad SQL 
    Iniciado
    Fecha de ingreso
    Jan 2008
    Mensajes
    3
    Descargas
    0
    Uploads
    0
    Buenas a todos, soy nuevo, este es mi primer mensaje. Soy principiante por tanto lo siento si ofendo a alguno con mi ignorancia.

    El tema es que estoy estudiando la seguridad de mi foro en multiforos.es, para lo cual he utilizado SSS. Ha salido una vulnerabilidad mediante inyección SQL, he estado buscando información acerca de este tipo de vulnerabilidad, y comprendo su funcionamiento más básico, gracias entre otras cosas a algún post y manual que he visto precisamente en este foro. Pero con la información que me da el SSS no sé como meterle mano al asunto. Sale algo así:

    Port 80
    Description phpMyQuote is prone to multiple input-validation vulnerabilities, including a cross-site scripting issue and an SQL-injection issue, because the application fails to sanitize user-supplied input.A successful exploit may allow an attacker to steal cookie-based authentication credentials, execute malicious script code in a user's browser, compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database.These issues affect phpMyQuote 0.20; other versions may also be vulnerable.
    How to fix Upgrade to the current version of phpMyQuote.
    Risk level High
    Related Links phpMyQuote HomePage

    Script <A href="http://***.multiforos.es/index.php?" target="_default">http:/***.multiforos.es/index.php?</A><BR><A href="http://***.multiforos.es/index.php?" target="_default">http://***.multiforos.es/index.php?</A>
    CVE GENERIC-MAP-NOMATCH
    Bugtraq ID 25615

    Bugtraq ID: 25615
    Class: Input Validation Error
    CVE:
    Remote: Yes
    Local: No
    Published: Sep 10 2007 12:00AM
    Updated: Sep 10 2007 10:21PM
    Credit: Yollubunlar.org is credited with the discovery of these vulnerabilities.
    Vulnerable: phpMyQuote phpMyQuote 0.20

    También me sale una larga lista de scripts relativos al foro.

    Me gustaría que alguien me diera alguna pista acerca de como podría ser atacado, pues no acabo de entender con estos datos como comenzar, la información del bug no parece que aporte demasiado. Agradecería pistas y sugerencias que me vayan marcando el camino.

    Saludos y gracias por adelantado.
    Citar  
     

  2. #2  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.721
    Descargas
    30
    Uploads
    8
    ESo quiere decir que es vulnerable a ataques de inyeccion SQL y Cross-Site Scripting:

    http://tuweb.com/index.php?action=edit&id=[Sql injection]
    http://tuweb.com/index.php?action=edit&id=[XSS]
    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    Jan 2008
    Mensajes
    3
    Descargas
    0
    Uploads
    0
    Si pero las vulnerabilidades que me salen serán las propias del servidor de multiforos.es, no? La inyección la he de "inventar" yo o hay ya una lista de inyecciones que suelen ser utilizadas?
    Citar  
     

Temas similares

  1. Duda acerca de Remote Access Trojan (RAT)
    Por Intoxique en el foro MALWARE
    Respuestas: 1
    Último mensaje: 31-05-2013, 13:30
  2. Duda acerca de lista de canales
    Por elsabino en el foro TELEVISION
    Respuestas: 0
    Último mensaje: 22-03-2006, 01:52
  3. Duda acerca de deinstalacion de trials
    Por hesse21 en el foro APLICACIONES
    Respuestas: 2
    Último mensaje: 06-11-2005, 03:00
  4. Duda acerca de desinstalacion de trials
    Por hesse21 en el foro APLICACIONES
    Respuestas: 0
    Último mensaje: 26-10-2005, 17:19
  5. Acerca de mi Ip
    Por Marchi en el foro GENERAL
    Respuestas: 5
    Último mensaje: 19-03-2004, 22:46

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •