Обход идентификации в ASP Client Check

Дата публикации:
08.05.2002
Всего просмотров:
972
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: ASP Client Check – опознавательный сценарий. Пользователи вводят имя пользователя и пароль в форме, и сценарий ищет в таблице "users" соответствующую запись. Уязвимость позволяет обходить процесс идентификации, зная только имя пользователя. Внедряя злонамеренный SQL код и используя известное имя пользователя, нападающий может получить доступ к ограниченным страницам.

Пример:

Username: ' union select username from users where username='Jim
Password: Jim

Уязвимость обнаружена в ASP Client Check version 1.5 and prior

Ссылки: ASP Client Check SQL Injection Vulnerability

или введите имя

CAPTCHA