Page principale >Hacking / Sécurité
Suite...
Suite...
Suite...
Suite...
Suite...
Vulnérabilité Cross Site Scripting dans CaupoShop
CaupoShop est un systeme de shopping utilisant php et mysql. Une vulnérabilité CSS permet d'obtenir des informations du caddies, y compris les informations des cartes de crédits.
Il est de plus possible de modifier les articles ainsi que les prix.
Vulnerable:
CaupoShop 1.30a et précedents.
CaupoShop v1.30 rc4 semble immunisé.
En s'enregistrant en tant que nouveau client, les données entrées dans le formulaire ne sont pas filtrées. Il est alors possible d'inserrer du javascript qui sera consulté par l'admin. On peut alors redirigé l'admin afin d'obtenir le document.location.href. Etant donné que l'admin est toujours authentifié, il est alors possible d'utiliser la session et d'acceder aux articles et prix, changer les passes.....
Exploits:
Lors de l'enregistrement en tant que nouvel utilisateur, entrez la ligne de code suivante dans la case message:
Le X correspond à un ID d'user valide.
Le 2è exploit permet de supprimer l'article avec l'id 1 la prochaine fois que l'admin consultere son listing de commande.
Il est tres fortement conseillé de faire un Upgrade vers CaupoShop v1.30 rc4 (09-03-2002), étant donné le risque évident de se faire dérober les numéro de carte bancaire.
Info par http://ppp-design.de.
Vulnerable:
CaupoShop 1.30a et précedents.
CaupoShop v1.30 rc4 semble immunisé.
En s'enregistrant en tant que nouveau client, les données entrées dans le formulaire ne sont pas filtrées. Il est alors possible d'inserrer du javascript qui sera consulté par l'admin. On peut alors redirigé l'admin afin d'obtenir le document.location.href. Etant donné que l'admin est toujours authentifié, il est alors possible d'utiliser la session et d'acceder aux articles et prix, changer les passes.....
Exploits:
Lors de l'enregistrement en tant que nouvel utilisateur, entrez la ligne de code suivante dans la case message:
Le X correspond à un ID d'user valide.
Le 2è exploit permet de supprimer l'article avec l'id 1 la prochaine fois que l'admin consultere son listing de commande.
Il est tres fortement conseillé de faire un Upgrade vers CaupoShop v1.30 rc4 (09-03-2002), étant donné le risque évident de se faire dérober les numéro de carte bancaire.
Info par http://ppp-design.de.
Les + Lus Dans Cette Catégorie
Le Processus d activation de Windows XP mis a nu
Mais quel sont les informations que windows XP envoit à microsoft lors de l'activation du systeme d'exploitation? Quand on connait la politique de la vie privée de redmond, on s'attend au pire....Suite...
Savoir si La RIAA vous en veut
Vous etes un acharné du download sur Kazaa. Votre mule tourne a 110 % et votre disque dur pullule de DivX. Ce que vous ne savez peut etre pas, c'est que vous etes peut etre le prochain sur la liste des poursuites judiciaires de la RIAA.Suite...
le portable Orange SPV vulnerable
Une faille de securité touche le portable Orange SPV ( sound picture video ). Le probleme provient des signatures numériques gerées par un logiciel developpé par ... Microsoft :)Suite...
17 ans et 2000 sites hackes, dont 1 de trop !
DKD, 17 ans et demi, lycéen, a été arrèté chez ses parents à Vélizy-Villacoublay après une enquête de policiers de la criminalité informatique. Après s'etre attaqué au site de la NAVY, c'est le site ..... d'une préfecture qui lui aurait été fatal.Suite...
et de 1 pour office 2003
"Overview of the Office 2003 Critical Update", c'est le nom du premier rejeton d'une grande lignée de bug et patch que s'apprete a connaitre le nouveau Microsoft Office 2003.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
